WannaCry, le point, rapide (TA17-132A)

Bref état des lieux à propos du ransomware WannaCry

Origine: Bulletin d'alerte CERT TA17-132A

Nom(s): WannaCry (WCry, Wanna Decryptor, WannaCrypt, .wnCry)
Type: Rançongiciel, vers (Ransomware, Worm), rançon de .1781 bitcoins, environ $300 U.S
Découvert: 12 Mai 2017

Chiffres

Nombre d'infections : dizaines de milliers
Localisation: 150 pays
Traduit en 27 langues.

Vecteur

Principal: Phishing (via email).

Description

Bulletin de sécurité MS17-010[^MS17-010].

Manière d'opérer

Exploite une vulnérabilité dans le protocole Windows SMB (Server Message Block). Un exécutable malveillant qui contient le rançongiciel, essaye directement d'exploiter la faille MS17-010[^MS17-010] (EternalBlue/SMBv1.0), pour se propager. Ensuite, deux autres fichiers contiennent des composants ("plugins", cryptés), qui s'occupent de crypter les données de la victime.
Symptômes marquant (non exhaustifs)

Kill switch

Un jeune expert en sécurité (chez MalwareTech) a remarqué que le rançongiciel effectue une requête HTTP sur l'url:

"http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com"

Ceci avant de commencer son activité.
Si la requête arrive à établir la connexion, le logiciel se termine(!), typiquement le modèle d'un "kill switch" ou interrupteur général.

Impact

Remarques

Patches

Via Windows Update ou dans le catalogue des mises-à-jour Microsoft qui peuvent être installées indépendamment. Pour tous les systèmes affectés

Prévention

Recommandations (US CERT)
Recommandations pour la protection du réseau

Lorsque l'application du patch MS17-010[^MS17-010] n'est pas possible, le CERT recommande de désactiver le protocole SMBv1 et de bloquer le trafic réseau SMB au niveau des routeurs (ports UDP 137-138 et TCP 139). La plupart des routeurs le font par défaut, pour ne pas exposer les resources partagées sous Windows à l'extérieur du réseau local. A noter d'autre part que désactiver SMBv1 n'est possible que si l'on utilise pas le partage de resources réseau Windows, ce qui est peu probable dans un réseau d'entreprise.

D'autres recommandations et bonnes pratiques sur la protection et le renforcement de la sécurité de réseau d'entreprise sont citées dans ce bulletin d'alert du CERT, mais elles dépassent un peu le cadre de l'alerte spécifique à WannaCry, je ne les reprends pas ici.

En cas d'infection

Protection rançongiciel: règles générales

Références

Les lectures laissées en référence par le CERT sont intéressantes et reprises ici:

[^MS17-010]: Bulletin de sécurité Microsoft® Microsoft MS17-010