WannaCry, des outils arrivent pour récupérer des fichiers


Deux experts en sécurité informatique ont développé un logiciel qui permet en partie aux utilisateurs de décrypter les machines touchées par le ransomware

C'est une course contre la montre. Des experts en sécurité informatique du monde entier travaillent pour tenter de trouver les auteurs de WannaCry, l'infection qui a débuté le 12 mai et s'est répandue comme une traînée de poudre dans plus de 150 pays, et pour trouver un moyen de décrypter les ordinateurs touchés.

Après WannaSmile, un programme qui désactive le Server Message Block - un protocole utilisé par Windows pour communiquer avec les imprimantes et partager des fichiers entre ordinateurs - et empêche le ransomware de se propager aux appareils, d'autres logiciels sont arrivés. La première provient de Telefónica, la principale entreprise de télécommunications espagnole, qui a publié un outil permettant de récupérer les données cryptées par un ransomware. Il s'agit d'un script PowerShell qui permet de retrouver les fichiers temporaires portant l'extension WNCRYPT. Le programme ne fonctionne que si WannaCry n'a pas complètement crypté le disque dur de la machine infectée.

WannaKey

Un autre outil qui peut rendre aux victimes les fichiers cryptés par le terrible virus ransomware est Wannakey, un programme développé par Adrien Guinet, un expert en cybersécurité. Le chercheur prévient toutefois que le logiciel qu'il a développé ne fonctionne que sur des ordinateurs fonctionnant sous Windows XP. Wannakey permet de déverrouiller les données en localisant les clés de décryptage cachées dans le ransomware. Selon Adrien Guinet, lorsque le virus frappe une machine, il génère des codes pour crypter les disques durs, qui sont basés sur des nombres premiers. Si le logiciel malveillant n'efface pas ces chiffres de la mémoire de l'ordinateur affecté, il est possible de décrypter les fichiers en les récupérant. Le programme a toutefois des limites : il ne réussit que si l'ordinateur attaqué n'a pas été redémarré.

En attendant, Microsoft a publié un patch de mise à jour, MS17-010, qui empêche le ransomware d'exploiter les vulnérabilités de Windows et de se propager davantage.


Laisser un commentaire