WannaCry est une souche de ransomware qui a émergé dans la nature le 12 mai 2017 et s'est rapidement propagée pour infecter plus de 200,000 150 systèmes dans plus de XNUMX pays.
Également connu sous le nom de WannaCrypt, WanaCrypt0r, WCrypt et WCRY, le ver WannaCry tire parti d'un exploit spécifique du protocole SMB (Server Message Block) de Microsoft nommé «EternalBlue» et utilise des tactiques d'escroquerie par e-mail de phishing pour infecter des systèmes Microsoft Windows plus anciens et non corrigés .
Dommages potentiels de WannaCry atténués par un correctif de sécurité et un commutateur d'arrêt
Microsoft a corrigé la faille de sécurité SMB «EternalBlue» dans un avis de mise à jour publié le 14 mars (MS17-010), bien qu'il ne s'appliquait qu'à Windows 10 à l'époque. WannaCry a cependant été développé pour cibler Windows 7 et Windows Server 2008 et les systèmes d'exploitation antérieurs non corrigés.
Suite à la découverte de WannaCry dans la nature, Microsoft a étendu le nouveau correctif SMB pour couvrir en outre les systèmes d'exploitation Windows XP, Windows 7, Windows 8 et Windows Server 2003.
Bien que ces correctifs de sécurité aient contribué à atténuer la propagation potentielle de WannaCry, de nombreux systèmes Windows restent obsolètes en ce qui concerne les correctifs de sécurité récents et par conséquent continuent d'être vulnérables aux ransomwares tels que WannaCry et autres logiciels malveillants.
Les dommages potentiels de WannaCry ont également été atténués par le déclenchement d'un «kill switch» trouvé dans le code WannaCry. Le code WannaCry a été conçu pour tenter de se connecter à un domaine spécifique et infecter uniquement les systèmes et se propager davantage si la connexion au domaine échoue. Depuis son émergence dans la nature, le nom de domaine dans le WannaCry a été enregistré et mis en place, ce qui a permis de limiter la propagation et les dommages de la souche initiale de WannaCry.
Comment fonctionne WannaCry et se propage
WannaCry a deux composants principaux: un cheval de Troie dropper qui cherche à exploiter la vulnérabilité de sécurité SMB sur les systèmes Windows plus anciens et non corrigés et le ransomware lui-même.
Les systèmes infectés par WannaCry sont utilisés pour tenter d'infecter d'autres systèmes Windows non corrigés sur le réseau local ainsi que sur Internet.
Sur les machines infectées, WannaCry crypte tous les fichiers qu'il trouve et les renomme avec une extension de nom de fichier .WNCRY. WannaCry crée ensuite un message de rançon dans chaque répertoire et remplace l'image de fond d'écran par un message de rançon exigeant que les utilisateurs paient 300 $ en monnaie Bitcoin afin que tous leurs fichiers soient décryptés et restaurés à la normale.
Protection contre WannaCry et autres attaques de ransomwares / programmes malveillants
Pour protéger les systèmes contre WannaCry et d'autres formes de ransomwares et de logiciels malveillants, Microsoft recommande la mise à niveau vers Windows 10, qui n'est pas vulnérable aux variantes WannaCry / WannaCrypt.
Les utilisateurs sont également encouragés à installer la mise à jour de sécurité SMB sur les anciens systèmes Windows et à se tenir au courant de tous les correctifs et mises à jour de sécurité via le service Windows Update.
De plus, les utilisateurs peuvent désactiver spécifiquement SMB s'ils le souhaitent en suivant les instructions de ce Article de la base de connaissances Microsoft ou restreignez le trafic SMB en ajoutant une règle sur le routeur réseau ou le pare-feu logiciel pour bloquer le trafic SMB entrant sur le port 445.