[MAJ 22/05] WannaCrypt : deuxième tour de piste pour la faille liée au protocole SMB (« EternalSamba ») !

>>> Mise à jour du 22 Mai 2017 : selon certaines estimations, WannaCrypt aurait touché environ 417 000 terminaux, au 19 Mai dernier. Si certains OS de Microsoft était bel et bien ciblés (WinXP, WinServer 2003 et Win8), Kaspersky Lab, a récemment dévoilé des conclusions éloquentes à l’égard de Windows 7 qui aurait été fortement impacté lors de ces attaques : plus de 60 % des machines infectés concernait les versions x64 de Windows 7, la version familiale – « home » – totalisant un peu plus de 6 %, toute version de l’OS confondue.

Dans l’attente d’une éradication totale du virus infectieux, un français a permis de résister encore et toujours à cet envahisseur via >WannaKey<, un petit programme développé par Adrien Guinet pour freiner WannaCrypt et ainsi permettre à certain(e)s de retrouver le contrôle de ses données ou presque, sous réserve notamment que le terminal en question n’ait pas subi un redémarrage / écrasement des données afin de récupérer les informations liées à la clé de chiffrement (API Crypto). Pour l’heure, reste que les sauvegardes de données pour les entreprises et particuliers, en plus des patchs correctifs via l’Update de Windows restent la meilleure arme ; payer une rançon ne garantissant, encore une fois, aucune restitution des données ainsi verrouillées… A suivre ! <<<


>>> Mise à jour du 16 Mai 2017 : qualifié subtilement de « WannyCry » l’outil infectieux a fatalement profité du week-end pour proliférer en plus du fait que les mises à jour de Windows publiées officiellement en Mars dernier n’aient malheureusement pas été, selon toute vraisemblance, appliquées au sein du monde professionnel voire chez les particuliers… A ce jour, WannaCrypt aurait infecté environ 210 000 terminaux ; Europol travaille déjà (via le Centre européen de lutte contre la cybercriminalité alias l’EC3) sur un outil de décryptage du malware qui sera déployé sur sa plate-forme anti-ransomware, >No more ransom<. Pour l’instant, le mieux rester de sauvegarder les données pour les terminaux concernés et / ou – si ce n’était pas encore fait, d’appliquer la mise à jour >KB4012598< (pour rappel, sont concernés : Windows XP – rustine gratuite – Windows 8 et Windows Server 2003) qui, selon >TheRegister< aurait pu être encore plus vite déployée, selon l’analyse des métadonnées des patchs sécuritaires incriminés : « notre analyse des métadonnées dans ces correctifs montre que ces fichiers ont été construits et signés numériquement par Microsoft les 11, 13 et 17 février, la même semaine, il avait préparé des mises à jour pour ses versions compatibles de Windows. En d’autres termes, Microsoft avait des réparations prêtes à aller pour ses systèmes existants à la mi-février, mais les a seulement déployées au publique vendredi dernier« … A suivre ! <<<


Actualité du 13 Mai 2017 :

Fin Avril dernier<, un des malwares issu des entrailles de la NSA et dérobé par les Shadow Brokers refait surface en propageant un ransomware dévastateur qui toucherait le monde entier. Pour l’heure, on dénombrerait des dizaines de milliers de terminaux infectés…

 

 

Et, pourtant, Microsoft avait prévenu puisque le 14 Mars dernier, via son bulletin sécuritaire >MS17-010<, la firme de Redmond colmatait la faille « EternalBlue », un des >malwares ou kit d’outils d’espionnages< dérobés par la cyber-équipe incriminée à la NSA qui avait permit l’élaboration de DoublePulsar, un malware silencieux et sans traces qui permettait l’installation d’une porte dérobée en vue de dérober ou d’accéder à des informations sur le terminal ainsi infecté… Malheureusement, depuis hier, le Vendredi 12 Mai, probablement dû – en partie – à une négligence de certain(e)s quant à l’application du patch correctif, la vulnérabilité de la faille (qui réside dans le >port SMB – 445<) non corrigée sur certains postes a permis un re-déploiement de cette dernière via WannaCrypt (Wcry, WanaCry, WanaCrypt et Wanna Decryptor étant également des synonymes ou variations de celui-ci), un rançongiciel (ransomware) qui bloque brutalement l’accès direct au système entier d’un terminal donné sous réserve de déblocage contre monnaie sonnante et trébuchante.

Pour l’heure, Microsoft a déjà déployé >plusieurs rustines sécuritaires contre WannaCrypt< – y compris pour Windows XP, de manière gratuite, puisque le support s’est arrêté en Avril 2014 ! – et l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), outre le fait d’appliquer les mises à jour officielles (l’Update sous Windows et la mise à jour des bases virales de l’anti-virus), >préconise< les actions suivantes :

 

  • Déconnectez immédiatement du réseau les équipements identifiés comme compromis. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés ;

  • Alertez le responsable sécurité ou le service informatique au plus tôt ;

  • Sauvegardez les fichiers importants sur des supports amovibles isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes ;

  • Ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).

 

Si aucun chiffre officiel n’a été apposé, l’étendue serait mondiale : Kaspersky aurait identifié environ 74 pays (45 000 attaques environ) dont la Russie pour principale cible, selon les propos rapportés par Le Monde et d’après l’ANSSI, il faudrait ramener le chiffre à 75 000. Quant aux secteurs, tous sont impactés notamment en France avec >Renault< qui a du stopper, par prudence, ses lignes de production dans certaines secteurs touchés par le ransomware qui demandait 300 dollars pour le déblocage des données ; l’Espagne (>Telefonica<), le système de transit mondial >FedEx< a lui aussi été impacté et travaille actuellement sur le problème et on imagine aisément d’autres infrastructures figées par WannaCrypt comme des établissements de santé, scolaires, bancaires / financiers… Une gravité de la situation qui serait à relativiser, selon >MalwareTech<, qui aurait « par accident » empêcher la prolifération du rançongiciel en achetant le nom de domaine vers lequel transitait ce dernier.

Dans l’immédiat inutile (donc indispensable !) de rappeler qu’il ne faut surtout pas céder au chantage financier d’un ransomware puisqu’il n’y a aucune assurance, qu’une fois la rançon payée, les données soient effectivement débloquées. De plus, soyez attentifs quand aux liens contenus dans des mails de personnes inconnus ou à caractère douteux (orthographe, expression bizarre…) en vous abstenant de cliquer sur ce type de liens ou de contenu téléchargeable : il s’agit-là, en général, du principal mode de diffusion des logiciels de rançon (via phishing ou hameçonnage) et, bien évidemment, si ce n’est déjà fait, mettez à jour sans délai votre ou vos système(s) via l’Update de Microsoft qui concerne Windows XP, Windows 8 et Windows Server 2003… A grandement veiller !

 

Pour plus d’informations ou d’aide sur le sujet, n’hésitez pas, dans le doute, à venir discuter du sujet sur le dépannage d’SOSOrdi.net en exposant votre question / problème où la communauté tentera de vous éclairer !

 

Source : ANSSI – Bulletin du 12 Mai 2017 lié à la faille WannaCrypt (bulletin MS17 – 010, du 14 Mars 2017).