ActualitéSécurité

Ransomware : WannaCry

Panique dans le monde informatique ce week-end! Le ransomware Wannacry, aussi connu sous le nom de Wannadecryptor ou WCry, a été déployé massivement dans plus de 150 pays. Cette attaque d’envergure mondiale fait monter d’un cran le niveau des attaques de ransomware, et classe définitivement ce type de menace comme un danger absolu pour les parcs informatiques.

Les premières constatations ont été faites vendredi. Une attaque d’envergure mondiale a été constatée.  Le ransomware WannaCry  a infecté des parcs de milliers d’entreprises. Du jamais vu à ce jour…

Comme d’habitude, le but est de faire payer aux victimes une rançon en bitcoin, afin de (peut être) leur fournir de quoi déchiffrer les données. En effet, rien n’est garantie et il n’est pas recommandé de payer.

Cette fois, ce sont de grandes entreprises, des hôpitaux, des administrations, qui sont touchées. Productions paralysées, opérations médicales repoussées ou déportées dans d’autres structures non-impactées, administrations fermées… Les impacts sont considérables!

WannaCry

Ce ransomware a été détecté pour la première fois le 10 février dernier par un chercheur chez MalwareBytes. La première version a été utilisée dans une première vague brève le 25 mars.

Mais vendredi dernier (le 12 mai) c’est une variante améliorée qui a été déployée massivement. Si le vecteur d’infection est tout ce qu’il y a de plus traditionnel (pièce jointe infectieuse en fichier Word ou PDF), un mécanisme additionnel vient décupler son potentiel de propagation. En effet, un vers est utilisé pour diffuser le ransomware sur un parc informatique.

Worm

Ce mécanisme de vers s’appuie sur des failles du serveur SMB sur les systèmes Windows et Windows Server. Ces vulnérabilités ont été exploitées par la NSA, qui les utilisent dans divers outils d’espionnage. Durant ces derniers mois, un groupe de pirates nommé « Shadow Brokers » a dévoilé ces outils et les failles exploitées, les rendant librement accessibles à travers les exploits EternalBlue, EternalChampion, EternalSynergy et EternalRomance, faisant partie du kit FuzzBunch, et chargent DoublePulsar sur les systèmes compromis.

Le ransomware WannaCry dans sa version améliorée utilise donc ces exploits, afin d’exécuter du shellcode sur les système compromis. Grâce à cette exécution, le malware est propagé sur le réseau, et télécharge d’autres malwares.

Patch

Ces vulnérabilités ont été patchées par Microsoft. Mais les systèmes non patchés, et les OS plus maintenus comme XP, sont vulnérables. Et c’est ainsi que les parcs ont été infectés. On ne le répétera jamais assez : Faites passer les mises à jour! Je considère personnellement qu’il y a, en matière de maintenance préventive, 3 règles : Patchez, sauvegardez, et resauvegardez!

Pour l’instant, devant l’urgence et l’ampleur de l’attaque, Microsoft a  sorti des correctifs pour les failles SMB sur Windows XP (y compris la version Embedded SP3), Windows Server 2003 et Windows 8. L’éditeur précise que Windows 10 n’est pas touché. Cependant, il est probable que le ransomware subisse des évolutions afin de contourner les solutions mises en place, et Microsoft recommande, lorsque c’est possible, de désactiver totalement le protocole SMB.

Comment réagir ?

Actuellement WannaCry est (ponctuellement) stoppé. En effet, un chercheur en sécurité nommé MalwareTech a pu freiner ce ransomware à travers un coup de chance. L’enregistrement d’un nom de domaine présent dans le code de WannaCry et qui était libre a permis de stopper sa diffusion. Mais ce n’est qu’un bref répit, car le code a déjà été modifié.

En attendant, et puisqu’on peut s’attendre à une nouvelle vague, il est extrêmement important de patcher ses serveurs, et les OS plus supportés. Il est aussi tout à fait indiqué de déconnecter les pc tournants sur des OS obsolètes du réseau, et de procéder à leur mise à jour/remplacement.

Lorsque c’est possible, il est préférable de désactiver le protocole SMB.

(attention, ne désactivez SMB que si vous savez parfaitement ce que vous faites, et quels seront les impacts!!)

Désactivation sur le serveur SMB :

Windows 8 et Windows Server 2012 introduisent l’applet de commande Windows PowerShell Set-SMBServerConfiguration, qui permet de désactiver les protocoles SMBv1 ne SMBv2 et SMBv3 sur le composant serveur.

Vérifier l’état actuel de SMB
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

Pour activer ou désactiver SMB
Get-SmbServerConfiguration -EnableSMB1Protocol $false

Remplacez 1 par 2 pour agir sur SMBv2 et v3 (ils partagent la même pile, et se désactivent donc ensemble), et false par true pour activer au lieu de désactiver.

Sur les sytèmes plus anciens, il faudra modifier le registre :

Pour activer ou désactiver SMBv1 sur le serveur SMB, configurez la clé de Registre suivante :

Sous-clé de Registre : entrée de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters: SMB1
REG_DWORD : 0 = désactivé
REG_DWORD : 1 = activé
La valeur par défaut : 1 = activé

Pour activer ou désactiver SMBv2 sur le serveur SMB, configurez la clé de Registre suivante :

Sous-clé de Registre : entrée de RegistreHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters: SMB2
REG_DWORD : 0 = désactivé
REG_DWORD : 1 = activé
La valeur par défaut : 1 = activé
Désactivation sur le client SMB :
Pour désactiver le SMBv1 sur le client SMB, exécutez les commandes suivantes :
SC.exe config lanmanworkstation depend = bowser/mrxsmb20/nsi
SC.exe config mrxsmb10 start = disabled
Pour activer la SMBv1 sur le client SMB, exécutez les commandes suivantes :
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
SC.exe config mrxsmb10 start = auto
Pour désactiver SMBv2 et SMBv3 sur le client SMB, exécutez les commandes suivantes :
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
SC.exe config mrxsmb20 start = disabled
Pour activer SMBv2 et SMBv3 sur le client SMB, exécutez les commandes suivantes :
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto
Vecteur d’infection
Pensez aussi que le vecteur infectieux est une pièce jointe par mail. Il est donc important de faire attention aux mails ouverts, et de disposer d’un antivirus sur vos messageries.
Sensibilisez aussi les utilisateurs, afin qu’ils n’ouvrent pas n’importe quelle pièce jointe!

Après l’infection

Je ne vais pas vous donner de faux espoir. Une fois que l’infection est constatée, et si vous n’avez pas de backup à remonter, la situation est souvent désespérée.

La seule solution consiste à vérifier si les Shadow Copies sont exploitables. En effet, il arrive parfois que le processus de suppression des versions précédentes soient interrompu pour une raison indéterminée, et qu’on puisse ainsi récupérer les fichiers cryptés (portants l’extension .wncry).

Il est aussi possible de récupérer la version précédente des fichiers dropbox.

En dehors d’une sauvegarde exploitable, ou de la restauration par les shadows copies… sortez vos mouchoirs!
Mais si vous lisez cet article sans avoir subit d’attaque, vous avez maintenant les notions nécessaires pour vous en prémunir!

 

Samuel Monier

Informaticien indépendant Réseaux et systèmes - Infrastructure - Serveurs. J'interviens sur les départements 42 - 63 - 69 - 43 - 71, et à échelle nationale à distance. N'hésitez pas à me demander conseil!

Articles similaires

3 commentaires

  1. il aurait été intéressant de décrire les effets de la désactivation du SMB sur les serveurs et le stations de travail….

    1. Tech2Tech.fr s’adresse à un public de professionnels de l’informatique. Les articles sont donc parfois rédigés pour des pro, ayant les connaissances nécessaires à la compréhension.
      C’est aussi pour ça que je précise (en gras et en rouge!) de n’agir sur SMB qu’en toute connaissance des effets provoqués!

  2. Quid des OS alternatifs ? Je pense essentiellement à GNU Linux. Est-ce qu’il y a des cas avérés d’infection de machines Linux par ce ransomware ? Est-ce que Samba (si installé sur Linux) souffre des mêmes failles de sécurité que sous Windows ? Est-ce que pour se protéger, il ne serait pas mieux d’envisager une migration vers ces systèmes alternatifs (qui ne sont exempts de failles non plus) ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page