Les attaques de rançongiciels ne cessent de prendre le monde entier au dépourvu, comme l’a montré le dernier rançongiciel WannaCrypt0r (aussi appelé WannaCrypt, WannaCry ou WCry) dans un triste scénario, qui a touché des dizaines de milliers d’utilisateurs, d’entreprises et mêmes d’hôpitaux, dans plus de 90 pays. Malgré les appels que nous lançons, en tant qu’experts en sécurité, à une prudence renforcée, il est souvent plus facile de prétendre que ce genre de choses n’arrive qu’aux autres et de continuer comme si de rien n’était.
L’on s’attend depuis longtemps à ce que ces attaques massives de rançongiciels se multiplient et s’intensifient, aussi désagréables soient-elles pour les utilisateurs. Nous le constatons, une branche entière de la cybercriminalité se base sur ce genre d’attaques, car elles permettent de récolter des millions très facilement auprès des victimes.
Qu’est-ce qu’un rançongiciel ?
Il existe deux types de rançongiciels : ceux qui chiffrent les fichiers (qui les rendent illisibles) et ceux qui verrouillent l’écran d’accueil. Dans les deux cas, l’auteur du logiciel malveillant réclame une rançon à ses victimes pour qu’elles puissent récupérer l’accès aux fichiers et à l’appareil.
Les rançongiciels se répandent fréquemment par e-mail : un cyber-criminel envoie un e-mail contenant une pièce jointe. L’utilisateur peu méfiant ouvre le document (ou fichier javascript), qui semble illisible. Le document vous recommande d’activer les macros « si l’encodage des données n’est pas correct », ce qui évidemment, est fait exprès. L’activation des macros permet de télécharger secrètement le rançongiciel sur l’ordinateur à votre insu.
Qu’est-ce qui est différent avec WannaCrypt0r ?
Dans ce cas, c’est la méthode de diffusion, qui fait plutôt penser à un vers qu’à un « rançongiciel » classique. Une fois sur votre PC, il tentera à son tour d’infecter d’autres ordinateurs en exploitant des vulnérabilités qui n’ont pas encore été détectées ou corrigées. Dans le cas de WannaCrypt0r, cette vulnérabilité se nomme EternalBlue, l’une des failles récemment exposées par le groupe de pirates Shadow Brokers dans une archive divulguée sur les outils de la NSA. Le pire, c’est qu’un correctif de Microsoft existait déjà depuis mars pour corriger tous les systèmes affectés, ce qui montre que les utilisateurs et les grandes entreprises ne mettent que rarement leurs systèmes à jour. Suite à l’attaque, Microsoft a même publié des correctifs pour Windows XP, Windows Server 2008 et d’autres systèmes d’exploitation qui ne sont plus pris en charge par Microsoft mais encore très utilisés dans le monde.
« Je ne le dirai jamais assez, il est essentiel de maintenir votre système à jour », insiste Oscar Anduiza, analyste de logiciels malveillants chez Avira. « Dans un monde parfait où tout le monde aurait installé ce correctif, une attaque de cette envergure n’aurait jamais abouti. » Alors si ce n’est pas déjà fait, mettez à jour votre système d’exploitation. D’ailleurs, avec Software Updater Pro, le correctif aurait été installé sur votre système le jour de sa sortie, en un clic, il n’y a donc aucune raison de laisser cette faille grande ouverte à la merci de n’importe quel rançongiciel.
Comment fonctionne WannaCrypt0r ?
Une fois installé sur le PC via la faille mentionnée plus haut, le rançongiciel tentera d’obtenir l’autorisation d’exécuter et de chiffrer le système. Il utilise pour cela la commande « icacls /grant Everyone:F /T /C /« . Il va même plus loin et détruit le système de stockage de messages et toutes les bases de données que l’utilisateur possède sur son PC afin de les contrôler également.
Une fois cela effectué, il recherche tous les fichiers dont les extensions sont du type : « .der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc« , et stocke une note de rançon nommée @Please_Read_Me@.txt et une copie du programme de déchiffrement @WanaDecryptor@.exe dans chaque dossier où un fichier a été chiffré.
Pour aggraver le tout, WannaCrypt0r s’assure également d’éliminer toutes les copies du volume Shadow, il désactive la récupération au démarrage de Windows et efface l’historique de sauvegarde de Windows Server. C’est là qu’intervient l’utilisateur. Pour pouvoir exécuter le paramètre de ligne de commande requis pour ces actions, le rançongiciel a besoin de l’autorisation de l’utilisateur. Une fenêtre apparaît alors et demande à l’utilisateur d’accepter. S’il ne l’a pas acceptée, l’utilisateur a peut-être une chance de récupérer son système. S’il a accepté la requête, c’est irréversible : WannaCrypt0r exécute alors la ligne de commande « cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet » et après la suppression des copies Shadow, affiche un écran typique des rançongiciels sur le bureau.
Avira, la tranquillité d’esprit et la sécurité pour votre PC
Alors que nous poursuivons nos investigations sur les détails de l’attaque WannaCrypt0r – après tout le travail d’un analyste en malware ne s’arrête jamais – nous pouvons déjà vous confirmer que notre logiciel détecte ce rançongiciel, car des variantes avaient déjà été détectées par nos analyses il y a deux mois.
Qu’il s’agisse d’un rançongiciel, d’hameçonnage ou d’usurpation de l’identité, aujourd’hui, personne ne devrait plus être victime de ce genre d’attaque. Notre gamme complète de produits de sécurité offre des solutions pour tout et peut empêcher toutes sortes d’attaques, avant même qu’elles n’apparaissent :
Ayez une longueur d’avance, empêchez les attaques
Notre logiciel Software Updater Pro, le Navigateur Scout, Phantom VPN Pro et Avira Password Manager constituent la solution idéale pour empêcher qu’une attaque se produise. Software Updater s’assure que les failles de sécurité sont refermées dès qu’un correctif est disponible, tandis que le navigateur Scout, VPN et Password Manager veillent à ce que vos données ne tombent pas entre de mauvaises mains. Les attaques de logiciels malveillants et les campagnes d’hameçonnage auront beaucoup plus de mal à vous atteindre.
Détectez les menaces avant qu’elles n’aient le temps de germer
Notre Antivirus Pro primé et sa protection améliorée contre les rançongiciels vous protègera coûte que coûte. Qu’il s’agisse d’un virus classique, d’un vers, d’un logiciel malveillant ou d’un rançongiciel, notre antivirus s’occupe de tout et vous offre une tranquillité d’esprit incomparable.
Faire le ménage après vous
Si vous remarquez un peu tard que vous auriez dû installer un antivirus et que votre PC semble perdu, notre Antivirus Pro dispose d’un système de secours qui pourrait bien vous sauver. Et si cela ne suffit pas, System Speedup optimise votre PC après les attaques et corrige les erreurs, répare les paramètres défaillants et nettoie le registre.
