Cyberattaque WanaCrypt0r 2.0

Cyberattaque WanaCrypt0r 2.0

Un programme informatique, baptisé WanaCrypt0r 2.0, s’est déployé à très grande vitesse vendredi 12 mai 2017 à travers le monde. Ce logiciel malveillant, de la famille des “rançongiciels” (ransomware), chiffre le contenu des ordinateurs sur lesquels il est installé pour le rendre inacessible à leur propriétaire, et réclame une rançon de 300 dollars, à payer en bitcoins, pour le déverrouiller.

 

La propagation du logiciel peut se faire de deux manières

Lorsqu’un utilisateur ouvre une pièce jointe corrompue (document Word, PDF ou autre), mais aussi par le réseau local. WanaCrypt0r 2.0 est un logiciel élaboré, qui “scanne” l’infrastructure réseau depuis les machines sur lesquelles il est installé, pour se diffuser ensuite à toutes les machines proches.

Si ces logiciels sont plutôt courants, WanaCrypt0r 2.0 se distingue des autres par l’extrême rapidité de sa diffusion.

 

Les systèmes potentiellement concernés  sont des systèmes Windows suivants :

1/ Systèmes faisant l’objet de diffusions régulères de mises à jour par Microsoft :

Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10, Windows Server 2012 R2, Windows Server 2016.

Microsoft a diffusé en mars 2017 une mise à jour de sécurité visant à corriger la faille système exploitée par cette attaque pour cette catégorie de systèmes (MS17-010 – voir les KB correspondants sur https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) pour cette catégorie de systèmes.

Cette mise à jour peut être déployée automatiquement avec WSUS ou manuellement depuis le système de mise à jour Windows. Elle nécessite un redémarrage du système.

 

2/ Systèmes ne faisant plus l’objet de mises à jour par Microsoft :

Windows XP, Windows 8, Windows 2003.

Microsoft a mis à disposition une mise à jour spécifique qui doit être téléchargée et appliquée manuellement sur ces systèmes (voir le lien https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/).

Cette mise à jour nécessite un redémarrage.

 

Quelques recommandations pour les environnements présents sur vos différents sites

Antivirus :

  • Vérifier la présence du Virus de type Ransom:Win32/WannaCrypt sur les postes et les serveurs de votre propre parc
  • Vérifier la version des dernières mises à jour (version client et signatures)

Pour information, Windows Defender, System Center Endpoint Protection et Forefront Endpoint Protection classifient cette menace parmi les Ransom:Win32/WannaCrypt.

Utilisez les outils gratuits suivants pour détecter et supprimer cette menace :

En cas d’infection constatée (comme par exemple la présence du fichier*.wncry), il faut déconnecter immédiatement du réseau les machines identifiées dans le but d’empêcher la poursuite du chiffrement et la destruction des documents partagés.

 

Serveurs de fichiers :

  • Vérifier la non-présence de fichiers de type: *.wncry
  • Vérifier que les sauvegardes sont OK

 

Proxy / Anti-Spam :

  • Vérifier que les proxys sont à jour

 

Vous avez des questions à ce sujet ? Nos équipes se tiennent à votre disposition pour toute information.