Le ransomware auto-réplicant WannaCry (connu aussi sous les noms WCry, WannaCrypt et WanaCryptor) a bloqué depuis vendredi 12 mai plusieurs dizaines de milliers d’ordinateurs sous Windows dans une centaine de pays.
L’attaque a porté surtout en Russie, mais aussi dans plusieurs pays d’Europe. L’opérateur hispanique Telefonica, le fabricant d’automobiles Renault et le système de santé NHS outre-Manche comptent parmi les victimes occidentales du malware. Plusieurs variantes de WannaCry ont d’ores et déjà surgi.
Le chantage de l’attaque massive s’exprime par une fenêtre qui surgit à l’écran du PC (serveur ou poste de travail) et affiche le message ci-dessus commençant par : « Ooops, vos fichiers sont chiffrés ».
Traduit (approximativement) dans la langue de l’utilisateur, ce message réclame 300 dollars à régler en bitcoins sous trois jours pour obtenir la clé de déchiffrement et récupérer les fichiers. Si rien n’est réglé sous 7 jours, les fichiers seront effacés définitivement. Entre temps, la rançon double.
Un impact sur des vies humaines
« Des systèmes d’infrastructures critiques dans le transport et la santé ont été ciblés au point d’être partiellement ou totalement paralysés. Le point positif, c’est sûrement un appel à se réveiller face aux cyber-attaques qui affectent non seulement l’informatique mais aussi la vie humaine« , confirme Thierry Karsenti, Vice-President de Check Point Europe, interrogé par France24.
En mars dernier déjà, un ransomware a provoqué un double-suicide en Roumanie, révèle The Register.
Une cyber-attaque fulgurante mais parable
Le rançongiciel s’est propagé à une vitesse plus rapide que d’ordinaire, WCry exploitant la vulnérabilité ‘Eternal Blue’, une faille du système de partage de fichiers SMB sous Windows. Bien qu’un bulletin de sécurité Microsoft (MS17 -010 du 14 mars 2017) corrige cette vulnérabilité, tous les systèmes en place n’ont pas été mis à jour à temps.
L’éditeur de Seattle a publié des correctifs pour les systèmes Windows XP et 2003, qui ne sont plus supportés mais toujours largement utilisés. A ce jour, les systèmes Windows XP (SP2 x64, SP3 x86, Embedded SP3 x86), Windows Server 2003 (SP2 x64 et SP2 x86), et Windows 8 (x86, x64) disposent de correctifs adaptés pour parer l’attaque WCry. Windows 10 n’a besoin d’aucun correctif.
Attention, téléchargez uniquement les correctifs de Microsoft correspondant aux versions de systèmes Windows localisées dans les langues de vos utilisateurs.
Les mesures pour échapper au ransomware
Quelques précautions pour éviter d’être la prochaine victime de WCry ou d’une de ses variantes :
- Appliquez les dernières rustines de Microsoft (lire le paragraphe précédent)
- Désactivez le protocole SMB du réseau local (adoptez les partages NTFS, plus sûrs)
- Sauvegardez régulièrement vos fichiers et préservez une sauvegarde antérieure au 12 mai d’un écrasement par un backup plus récent
- Mettez à jour chaque système d’exploitation, anti-malware et logiciel de filtrage Web
- Ne cliquez pas sur les liens, n’ouvrez pas les attachements des messages non sollicités
- Utilisez un parefeu et filtrez les ports Netbios (TCP/139), SMB (TCP/445), RDP (TCP/3389) impliqués dans la propagation de WCry
- Appliquez un verrouillage de service d’exclusion (named mutex): MsWinZonesCacheCounterMutexA
Que faire lorsque WCry a déjà frappé ?
En cas de découverte de WCry sur un ordinateur d’entreprise, l’ANSSI préconise :
- Déconnectez immédiatement du réseau les équipements identifiés comme compromis
- Alertez le responsable de la sécurité informatique
- Sauvegardez les fichiers importants sur des supports amovibles isolés
- Ne payez pas la rançon
- Consultez les dernières alertes du CERT
Gare aux utilitaires d’éradication gratuits
Si le ransomware a déjà infecté vos ordinateurs, méfiez-vous des utilitaires d’éradication spécifiques qui apparaissent un peu partout sur la toile. Préférez leur une procédure manuelle qui sera capable de nettoyer votre système et d’effacer les fichiers générés par le malware. Les principales étapes de cette procédure sont résumées ci-dessous:
- Démarrez l’ordinateur en mode sans échec
- Identifiez soigneusement le processus WannaCry via le gestionnaire de tâches (puis, achevez-le)
- Vérifiez les programmes lancés au démarrage (Configuration système, effacez tout programme suspect)
- Nettoyez la base de registres (recherchez les clés WannaCry, CryptXXX)
- Effacez les fichiers déposés par le malware (rechechez les fichiers les plus récents des répertoires temp, systèmes et applications)
- Lancez le scanner de l’anti-malware (mis à jour)
Si vous êtes confrontés au ransomware, n’hésitez pas à partager votre retour d’expérience ici même.