Ce sujet a 0 réponse, 1 participant et a été mis à jour par  Houssen Moshinaly, il y a 6 mois et 1 semaine.

Affichage de 1 message (sur 1 au total)
  • Auteur
    Messages
  • #855

    Houssen Moshinaly
    Admin bbPress

    Wannacry est un ransomware qui a infecté environ 75 000 machines à travers le monde. De nombreux pays sont touchés incluant la Russie, l’Ukraine, les Etats-Unis, l’Inde, Taiwan, l’Afrique et une partie de la France. Etant donné que la Fédération de Russie est la plus touchée, cela  ne m’étonnerait pas que Wannacry provienne d’un autre Etat. Il y a une carte qui montre les infections. (195 000 au total à l’heure où on écrit ces lignes). Vous pouvez également regarder cette carte qui montre l’infection de Wannacrypt au fur et à mesure. C’est carrément du temps réel.

    Les pays qui sont les plus touchés par le ransomware Wannacry

    Les pays qui sont les plus touchés par le ransomware Wannacry

    C’est quoi, Wannacry ?




    Wannacry utilise un exploit utilisé par un ensemble d’outils de la NSA qui s’appelle Eternalblue. La NSA a utilisé Eternalblue pendant des années jusqu’à ce que les hackers connus comme les Shaow Brokers mettent la main sur de nombreux outils de piratage de la NSA. Après avoir tenté de vendre les outils aux enchères, Shadow Brokers les a simplement balancé sur le web.

    Le genre de message qu'on obtient si on est infecté par le Ransomware Wannacry

    Le genre de message qu’on obtient si on est infecté par le Ransomware Wannacry

    Comment se propage le ransomware Wanna Cry ?

    • La première infection de Wanna Cry se fait via un mail ou une pièce jointe
    • Wanna Cry se propage ensuite sur les autres machines sur le réseau via le protocole SMBv1
    • Wanna Cry touche Windows XP et Windows 7 et Windows 8

    Le Ransomware Wanna Cry se propage principalement via un protocole réseau connu comme le SMB (Service Message Block). Notons que seule la version SMBv1 qui est concerné. On ignore encore le vecteur d’origine, mais on peut penser que c’est l’une des méthodes habituelles telles qu’un fichier joint ou un script sur un site. Mais le fichier joint est plus probable.

    Comment se propage le Ransomware Wanna cry ?

    Comment se propage le Ransomware Wanna cry ?

    En premier lieu, quelqu’un télécharge le fichier joint malveillant, par exemple, un fichier word, excel ou même PDF. Une fois que le fichier a infecté cette première machine, alors le Ransomware Wannacry va se propager sur les autres machines connectées au réseau via le protocole SMBv1. C’est particulièrement brillant, car à part la première infection qui nécessite une action de l’utilisateur, le reste va se propager en mode furtif. C’est pourquoi les grandes organisations ont été touché, car elles ont des dizaines de machines connectées à un réseau. Et quand on ajoute que chacun de ces machines utilisent Windows, alors on peut imaginer les dégats. Notons que malgré le fait que le SMBv1 soit obsolète depuis 30 ans, il est toujours présent dans la plupart des Windows incluant Windows 10. La seule différence est que Windows 10 a déjà corrigé la faille ce qui n’est pas le cas des anciens Windows.

     

     

    Si vous êtes touché par le Ransomware Wannacry, remerciez la NSA !

    Wannacry est le résultat de cet outil de la NSA, mais les pirates lui ont ajouté un piment spécial avec un Payload qui se réplique automatiquement et qui se transmet de machine en machine sans aucune intervention de l’utilisateur. Dans les autres Ransomwares, pour que vous soyez infecté par un Ransomware, il fallait que vous cliquiez sur une pièce jointe dans un mail ou que vous téléchargiez une saloperie d’un site malveillant. Ce n’est plus nécessaire avec Wannacry qui se propage automatiquement. On ignore encore le premier vecteur du Ransomware, mais heureusement, des chercheurs ont pu suspendre un nom de domaine qui a aidé dans la propagation virale.

    Tout savoir sur le ransomware Wannacry

    Mais Wannacry doit quand même se transmettre d’une certaine manière. En fait, les premières pistes suggèrent que c’est lié à une absence de sécurité dans les réseaux des grandes organisations, notamment les parcs informatiques et c’est pourquoi, de grandes entreprises sont touchés à travers le monde et on peut citer Fedex, le NHS (le service de santé publique au Royaume-Uni), l’entreprise de telecom Telefonica en Espagne, l’université de Waterloo, le Ministre de l’intérieur de Russie, une station de train à Francfort, le réseau ferroviaire de l’Allemagne  ainsi que des télecoms portugais.

    Plus précisément, WannaCrypt infecte les PC Windows avec un ver qui se propage à travers les réseaux en exploitant une faille du protocole SMB1 (Service Message Block) qui utilisé pour partager des fichiers et des imprimantes sous Windows. Il utilise un bug que Microsoft a corrigé en mars 2017, mais ce correctif est uniquement valable pour les versions modernes de Windows. Les ordinateurs sous Windows XP sont la principale cible et le parc information des grandes organisations continuent toujours de tourner sous Windows XP à cause du cout colossal pour renouveler l’infrastructure.

    Comme on l’a mentionné, le Ransomware intégrait un Kill Switch que les chercheurs ont utilisé pour stopper la propagation sinon on peut dire que des millions de PC dans le monde auraient été infecté.

    Le plus grand coupable est la NSA

    Les pirates vont toujours tenter de développer des Ransomwares de plus en plus sophistiqués, mais les vrais fils de pute sont la NSA qui ont utilisé cet exploit pendant des années et qu’ils ne l’ont jamais corrigé. Il a fallu attendre mars 2017 pour que Microsoft corrige le machin. En sachant que Microsoft collabore avec la NSA depuis 2010 en intégrant des Backdoors dans Skype. Donc, la complicité de Microsoft est également manifeste.

    Ce Ransomware Wanna Cry est déjà très développé, car il est disponible en plusieurs langues et il utilise également Doublepulsar, un autre outil de la NSA pour contrôler des machines à distance de manière anonyme.

    Merci également aux médias !

    Quand Shadow Brokers a publié les outils de la NSA, les médias de masse ont systématiquement minimisé leur importance en estimant que pff, les failles ont été corrigé depuis longtemps. Voilà une phrase que seuls des débiles profonds pourraient sortir en ayant une mentalité tellement étroite en pensant que le monde entier peut s’acheter des machines de guerre en mettant à jour leur système. Les médias et les prétendus blogueurs zinfluents ne comprennent pas qu’il y a d’excellentes raisons pour lesquelles Windows XP refuse de mourir. Cette minimisation systématique a été manifeste lorsqu’on a eu les fuites des outils de piratage de la CIA. Et maintenant, ces mêmes médias nient totalement leur responsabilité. Si les médias avaient bien couvert le piratage des Shadow Brokers, alors peut-être qu’on aurait pu réduire les dégats.

    On va encore blamer les utilisateurs de ne pas protéger leurs systèmes, mais à la base, c’est la NSA qui est responsable. Est-ce qu’on doit blamer les victimes des armes à feu sous prétexte qu’elles n’avaient pas à se mettre sur la trajectoire de la balle. De plus, les conseils de protection contre les Ransomwares sont totalement inefficaces avec Wannacry puisqu’il se propage tout seul comme un grand sans aucune intervention de l’utilisateur. Les utilisateurs devraient passer à des systèmes plus sécurisés, mais il est de la responsabilité de certains crétins de ne pas créer de telles saloperies à la base.

    L’argument stupide de “Mettre à jour vers la dernière version de Windows”

    On blâme souvent les utilisateurs et les entreprises d’utiliser encore d’anciennes versions de Windows. Mais les Pro-Windows10 ne voient que le sommet de l’iceberg. Imaginons qu’après l’attaque massive de Wannacry, les politiciens se bougent enfin le cul pour donner les financements nécessaires pour renouveler les différents parcs informatiques des grandes organisations. Il faudra débourser quelques centaines de millions de dollars et je suis certain que vous, les contribuables, êtes prêt à les payer. Mais cela ne suffira pas. Car l’une des raisons pour lesquelles les organisations ne mettent pas à jour leur système et qu’ils ont des logiciels spécifiquement conçus pour ce système.

    Par exemple, de nombreux logiciels dans les hopitaux britanniques sont spécifiquement codé pour Windows XP. La mise à jour de ces progiciels pour Windows 7 ou supérieur couterait 1 million de dollars par hopital. Donc non, l’argument de “mettre à jour son Windows” ne tient absolument pas compte de la complexité de ces infrastructures. Mais il y a un vrai problème de fond qui est le Lobbying abominable de Microsoft à imposer ses merdes dans chaque secteur important de la société. Mais on ne peut pas dire que “passer à Linux” résoudrait le problème, car encore une fois, il faut développer spécifiquement les progiciels pour la plateforme. Mais le passage à Linux résoudrait plusieurs problèmes. Déjà cela ne couterait pas autant de migrer des parcs informatiques sous Linux (même s’il faut tenir compte de la maintenance ou de la formation qui sont exorbitantes). Ensuite, on n’aurait pas besoin d’acheter de nouvelles machines puisqu’il existe des distro Linux légères pour les vieilles machines. Et enfin, le principal argument est que Linux sera toujours des millions de fois plus sécurisé que Windows.

    Comment se protéger du ransomware Wannacry ?

    Comment se protéger du Ransomware Wannacry ?

    Plus sérieusement, il faut absolument désactiver la norme SMB1 qui est obsolète. On peut le faire facilement à partir de Windows 8.1 et Windows Server 2012 R2 comme dans l’image suivante. Sur Windows 8.1, il faut passer par la désinstallation des programmes dans le panneau de configuration.

    Désactiver la norme SMB1 pour se protéger du Ransomware Wannacry

    Désactiver la norme SMB1 pour se protéger du Ransomware Wannacry sur Windows 8.1

    Désactiver la norme SMB1 pour se protéger du Ransomware Wannacry sur Windows Server 2012 R2

    Désactiver la norme SMB1 pour se protéger du Ransomware Wannacry sur Windows Server 2012 R2

    Pour une sécurité supplémentaire, vous pouvez aussi bloquer les ports SMB 139 et 445 pour les connexions entrantes. Si votre système est vraiment ancien (genre Windows 7 ou Windows XP), alors vous devez vous déconnecter du réseau local si votre machine est dans un parc informatique, car c’est via le réseau que Wannacry se propage. Microsoft propose même des solutions contre Wannacry sur Windows XP (Les liens se trouvent tout en bas  de l’article, mais ils ont dû mal à fonctionner à cause de la saturation des serveurs). Cela inclut une mise à jour de sécurité qu’il propose normalement avec son support personnalisé.

    Se protéger de Wannacry sur Windows 7

    Etant donné que Windows 7 intègre Windows Defender, Microsoft propose une signature pour ce logiciel afin qu’il détecte et bloque ce ransomare. Mais les autres conseils de protection s’applique également comme la désactivation du SMB1 et le blocage des ports SMB 139 et 445 dans votre parefeu.

    En général, si vous n’utilisez pas le SMB qui est le protocole de partage de fichiers et d’imprimantes sur un réseau local de Windows, alors vous n’aurez pas de problème majeur puisque c’est la méthode de propagation de Wannacry. De plus, Wannacry exploite SMB1 et il est obsolète depuis plusieurs années. Microsoft propose les conseils pour désactiver le protocole SMB1 sur Windows 7 ainsi que d’autres versions où est présent. Ainsi, Microsoft propose la commande suivante pour désactiver SMB1 sous Windows 7, Windows 8 ou Windows Vista (non testé) :

    sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
    sc.exe config mrxsmb10 start= disabled

    Les 3 conseils pour se protéger du Ransomware Wannacry

    • Appliquez les mises à jour suivantes : MS17-010 et MS17-012 (Mais en réalité, appliquez toutes les mises à allant de MS17-010 jusqu’à MS17-023, mais les deux ci-dessus concernent principalement les failles de SMB).
    • Bloquez les ports SMB 139 et 445
    • Evitez d’utiliser votre réseau local dans la mesure du possible
Affichage de 1 message (sur 1 au total)

Vous devez être connecté pour répondre à ce sujet.

Font Resize
Contrast
Aller à la barre d’outils