Wannacry, le ransomware qui fait paniquer le monde entier

Aussi connu sous le nom de WannaCrypt, WannaCrypt0r 2.0 ou WCry, Wannacry est un logiciel malveillant de type ransomware auto-répliquant. Au cours du mois de mai 2017, il a paralysé le fonctionnement de grandes banques, entreprises industrielles et même des particuliers le tout en moins de 24h.

« Conçu à partir de la redoutable boîte à outils de la NSA

Tout est parti d’un logiciel dérobé à la NSA par un groupe de pirates informatiques dénommés Shadow Brokers.  Il s’est vu doté de nouvelles fonctionnalités, dont certaines sont similaires à celles des vers. Ce qui lui offre une capacité d’autoréplication.

Comment se propage t-il?

Il ciblait les réseaux utilisant le protocole SMBv1. Ce dernier permettant aux ordinateurs de communiquer avec des imprimantes, et d’autres appareils connectés au réseau. Le fait que Linux utilisait en grande partie le protocole SAMBA de son côté, a fait de Windows la cible privilégiée de ce logiciel malveillant.

SMBv1 était sujet à la vulnérabilité MS17-010. Elle a été corrigée par un patch fournir par Microsoft dans les heures suivant l’attaque. Et d’après ce dernier, toutes les versions de ses systèmes d’exploitation n’étaient pas concernées. En l’occurrence le dernier né de la famille Windows 10.

« Payez sinon …

Comme tous les ransomwares, une fois connecté le logiciel malveillant chiffre tous les fichiers présents sur l’ordinateur de la victime. Ensuite, il affiche une demande de rançon à l’utilisateur. Le mode de paiement exigé est le bitcoin. Le montant demandé par les auteurs de Wannacry était de $300 (environ 150 000 FCFA), à payer dans un délai de 3 jours au delà duquel le prix doublait.

Victime, que faire?

Les internautes dont les fichiers ont été chiffrés sont invités à garder une copie. En effet, comme le montre INTERPOL à travers son site dédié au sujet, il est possible qu’un chercheur trouve par la suite un moyen de les déchiffrer.

Comment le reconnaître?

Il est difficile de reconnaître Wanacry avant l’infection de votre PC. Il est très performant car utilisant les protocoles de chiffrement AES-128 avec RSA-2048.

Comment s’en prémunir?

Afin de mettre le maximum de garantie de votre coté, vous devriez :

1. Utiliser un antivirus performant à jour ;
2. Faire des mises à jour régulières de votre système d’exploitation ainsi que de tous les logiciels qui y sont installés. Si des fonctionnalités de mises à jour automatiques sont disponibles activez les ;
3. Sauvegarder et encore sauvegarder. Il est conseillé d’avoir 2 copies de sauvegardes distinctes. Une sur votre clé USB ou disque dur externe et l’autre dans le cloud par exemple.
4. Les utilisateurs avancés peuvent procéder à la configuration du pare-feu de votre réseau de façon à contrôler les paquets entrant scrutant pour chacun d’eux les protocoles réseaux, les adresses IP sources ou de destination ainsi que les ports locaux et distants ;
5. N’ouvrez jamais les pièces jointes dans les courriers électroniques ou sur les réseaux sociaux provenant de personnes que vous ne connaissez pas ;
6. Faites attention aux extensions des fichiers sur lesquels vous êtes sur le point de cliquer. Activez la fonction « afficher l’extension des noms de fichiers » dans la configuration du système d’exploitation de votre ordinateur. Vous pourrez ainsi voir des extensions sensibles comme « .exe », « .vbs » ou « .scr ». Ces dernières sont particulièrement connues pour camoufler des fichiers malveillants.

Les dommages causés par ce type de logiciel  ne sont plus à démontrer. D’après Avast, En 2014, les pirates, connus pour utiliser le bitcoin dans leurs opérations, ont effacé près d’un téraoctet de données de la base de Sony Pictures. Ils ont également créé une porte dérobée malveillante en 2015 et ont été impliqués dans une cyberattaque d’une valeur de 81 millions de dollars contre la Banque centrale du Bangladesh en 2016. Le groupe automobile Honda a également été victime le 23 juin 2017 quand une de ses usines située à Sayama au Japon a été attaquée.  Cela intervient cinq jours avant le début d’une autre grande cyberattaque mondiale, NotPetya.