3422 code bureau n'92829 *
Wcryptor

Lundi noir à prévoir pour Wcryptor le ransomware ?

Avec le week-end, l’attaque Wcryptor pourrait reprendre ce lundi avec l’ouverture des ordinateurs et boites mails. Prudence !

Je vous en parlais samedi, l’attaque Wcryptor (Wcry) aurait pu faire de plus gros dégâts si les concepteurs de cette prise d’otage informatique n’avaient pas oublié d’enregistrer un nom de domaine permettant de réceptionner certaines informations de leurs victimes. Un nom de domaine parmi tout un processus (passant entre autres par TOR, NDR) bien pensé pour ce ransomware. A noter deux autres versions dans la nature, depuis. Elles exploitent, pour se diffuser, les failles EternalBlue et DoublePulsar.

Je vous montre en vidéo ICI à quoi ressemble l’action de ce ransomware.

Ce rançongiciel a perturbé de nombreuses entreprises (petites et grandes) ainsi que de nombreux particuliers. Prudence en ce lundi. Vous avez peut-être reçu le courriel piégé et, en allumant votre ordinateur, lui donner la possibilité d’agir de nouveau.

ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Pour vous assurer que tout va bien, alertez le/les informaticiens de votre entreprise ; assurez-vous d’avoir les dernières mises à jour installées dans votre ordinateur. Avec l’informatique, la prudence est de rigueur d’autant qu’une seconde version de ce ransomware a été détectée. Europol parle d’au moins 200.000 victimes dans au moins 150 pays. Évitons de faire grossir ce tableau de chasse 2.0.

Il existe deux variantes de WannaCry avec le « Killswitch », et une version sans. Cette nouvelle attaque cache très certainement une tentative de contournement de certains types de moteurs d’analyse dynamique qui répondent automatiquement aux demandes GET arbitraires, empêchant ainsi la détection. L’un des conseils, virer JavaScript (JS) de votre outil de lecture de courriers électroniques. Il y a un interpréteur JS dans les principaux outils de messagerie, notamment Outlook. L’attaque se lance via la fenêtre de « pré affichage » du message. Bilan, le JavaScript est exécuté. Bye-Bye le contenu de l’ordinateur !

Cette faille baptisée EternalBlue (est utilisé aussi DoublePulsar), diffusée par les Shadow Brokers après l’avoir volé aux hackers de la National Security Agency (NSA), servait à infiltrer des ordinateurs. D’autres pirates, plus discrets, ont peut-être utilisé EternalBlue pour espionner les machines et les sociétés qui ont été prises en otage vendredi.

Et si ce ransomware n’était que de la poudre aux yeux. Une manière d’effacer toutes les traces d’un espionnage antérieur. Les victimes affichées et publiques (Renault, Telefonica, …) ont très bien pu intéresser autre chose que des pirates « ne » réclamant « que » 300€ par machine piégée ! (Merci à @baaastou)

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ - Journaliste - Spécialiste des sujets liés à la Cyber Sécurité depuis plus de 20 ans. Premier article en 1989 dans le mensuel "Amstar & CPC". Fondateur de ZATAZ, ZATAZWEB.tv & datasecuritybreach.fr. Officie/a officié dans de nombreux journaux et magazines (Europe 2, 01net, La Voix du Nord, Tilt, Entrevue, l'Echo des Savanes, Le Canard Enchaîné, France 3, ...). Auteurs et coauteurs de 6 livres dont "Pirates & hackers sur Internet" (Ed. Desmart) ; "Hacker, le 5ème pouvoir" (Ed. Maxima). Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) de l'Université de Valenciennes ; pour l'Ecole Européenne de Guerre Economique de Versailles. Réserviste Cyber Défense.

Articles connexes

Laisser un commentaire

*