Ransomware.WannaCry

26/02/2018

Qu'est-ce que WannaCry ?

Le ransomware WannaCry cible les réseaux utilisant le protocole SMBv1 qui permet aux ordinateurs de communiquer avec des imprimantes et d'autres appareils connectés au réseau. Cette version, datant de 2003, exposait les ordinateurs aux pirates, une vulnérabilité nommée MS17-010. En mars dernier, Microsoft a conçu un correctif pour résoudre ce problème sur les versions de Windows encore prises en charge mais les utilisateurs qui ne l'ont pas installé sont devenus une cible parfaite pour les pirates à l'origine de WannaCry.

Également connu sous le nom de WanaCrypt0r 2.0 ou WCry, WannaCry passe par les ordinateurs Windows pour chiffrer des fichiers et empêcher les utilisateurs d'y accéder en leur laissant un délai de 3 jours pour payer 300 $ en bitcoins. Passé ce délai, le prix double avant de supprimer tous les fichiers au bout de 6 jours sans avoir payer.

Quelles sont les cibles de WannaCry ?

Lors d'une attaque majeure de ransomware en mai 2017, la Russie, la Chine, l'Ukraine, Taïwan, l'Inde et le Brésil ont été les pays les plus touchés. WannaCry a affecté les internautes mais aussi les organismes gouvernementaux, les hôpitaux, les universités, les sociétés ferroviaires, les entreprises de technologie et les fournisseurs de télécommunications dans plus de 150 pays. Le National Health Service (RU), la Deutsche Bahn, la société espagnole Telefónica, FedEx, Hitachi et Renault font partie des victimes.

Origine de WannaCry

Les experts ont remarqué que le ransomware WannaCry se comportait comme un ver en utilisant deux méthodes d'attaque découvertes dans l'arsenal de la NSA (ETERNALBLUE et DOUBLEPULSAR). Ils ont également détecté un lien entre l'attaque de ransomware et le groupe nord-coréen Lazarus.

En 2014, les pirates, connus pour utiliser le bitcoin dans leurs opérations, ont effacé près d'un téraoctet de données de la base de Sony Pictures. Ils ont également créé une porte dérobée malveillante en 2015 et ont été impliqués dans une cyberattaque d'une valeur de 81 millions de dollars contre la Banque centrale du Bangladesh en 2016.

Reconnaître WannaCry

Vous ne pourrez sûrement pas reconnaître WanaCrypt0r 2.0 avant l'infection de votre PC car le ransomware se déploie de façon autonome. Ce type de ransomware se comporte comme un ver se propageant à travers les réseaux pour atteindre votre PC sur lequel il va chiffrer vos fichiers. Une fois touché, vous recevez un avertissement et vous ne pouvez plus accéder à vos fichiers ou pire, vous ne pouvez plus vous connecter à votre ordinateur.

Toujours d'actualité ?

Oui, le ransomware continue à toucher des ordinateurs mais en très faible quantité car beaucoup d'ordinateurs ont installés les dernières mises à jour de sécurité.