WannaCry
EXPERTISES TI – SÉCURITÉ
CENTRE D’INFORMATION WANNACRY
Survol du vers WannaCry
Premièrement, voici un survol du vers WannaCry pour vous familiariser avec l’arrière-plan de ce rançongiciel.
Worm (i.e. mssecsvc.exe)
Le vers est le premier attaquant et est responsable du comportement du vers du rançongiciel. Il pèse 3.6mb et contient l’URL « killswitch » ainsi que l’exploitant SMB pour MS17-10. Il comprend le second niveau d’attaquant sécurisé comme étant une ressource nommée R. Puisque l’attaquant est sécurisé et non autrement compressé ou obscurci, la détection linéaire pour ses attaquants détectera toujours le vers à moins que d’autres conditions soient ajoutées à ces règles.
La propagation fonctionne en générant des adresses IP de façon aléatoire et essai de se connecter et ensuite exploiter le système hors site. Nous irons dans plus de détails plus loin sur comment les exploitants de charge utile sont créés, mais le point important à savoir est que la charge utile est générée en mémoire et livrée à travers le réseau vers la mémoire processeur exploitée. Une fois que le code d’exécution est envoyé dans la charge utile, son seul but est de déposer une copie du vers au disque et l’exécuter.
La plupart des distributeurs d’antivirus, incluant Cylance, auront une opportunité de prévenir WannaCry. À moins, évidemment, que le fournisseur hameçonne des fonctions dans les processus noyaux, ce qui serait une proposition risquée et pourrait même augmenter la surface d’attaque.
Ressources WEB (en anglais seulement)
- Cylance WannaCry Landing Page
- CylancePROTECT vs. WannaCry Demo Video
- Cylance vs. WannaCry Blog Post – from Friday, May 12
- Cylance Technical WannaCry Blog Post – from Wednesday, May 17
- TITAN SI Tests: WannaCry Ransomware vs. 8 Other AV Solutions – Competitive Intel from a Cylance Platinum Partner in Malaysia
- https://insights.sei.cmu.edu/sei_blog/2017/05/ransomware-best-practices-for-prevention-and-response.html
Inscription aux webinaires/Enregistrements
Foire aux questions
- Ou puis-je trouver plus d’informations ?
Vous référez aux affichages de United States Computer Emergency Readiness Team pour plus de détails : https://www.us-cert.gov/ncas/alerts/TA17-132A - Comment cette attaque s’est produite ?
De croyance populaire la source de l’attaque venait d’un courriel infecté. - Est-ce que cette attaque est terminée ?
Non. Plusieurs rapports mentionnent que le rançongiciel a été arrêté avec le « killswitch » mais elle a seulement été ralentie. Les compagnies devraient demeurées vigilantes et garder un œil en gardant leur système à jour. - Qu’est-ce que l’attaque fait ?
Le rançongiciel se dénomme de plusieurs façons : WCry, WannaCry, WanaCrypt0r, WannaCrypt, ou Wana Decrypt0r. Il agit comme un vers qui se propage automatiquement, le rendant extrêmement dangereux. Il encrypte les fichiers sur l’ordinateur affecté et se propage à d’autres ordinateurs via le réseau local et demande que vous payiez une rançon en échange Bitcoin pour la décryption. - Que puis-je faire à propos de cette menace ?
Microsoft a déployé une mise à jour en mars dernier pour tous appareils Windows supportés. Si vous êtes sur Windows XP, 9 ou Server 2003, il est recommandé que vous installiez la dernière mise à jour de sécurité. - Malgré la « killswitch », vous pouvez aussi ajouter ces domaines sur les listes blanches :
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Ceci vous permet votre AV, filtres URL et pare-feu de bloquer vos adresses. Vous pouvez aussi ajouter les domaines ci-dessus sur un fichier hébergé système et sur votre serveur interne DNS pour vous assurer que le serveur « killswitch » ne soit jamais silencieux mais vous devez être certain que les machines vers lesquelles vous pointez sont toujours disponibles. - Quoi faire si votre ordinateur est infecté ?
Si vous croyez que votre ordinateur est infecté et ne peut contacter aucun des hébergements ci-dessus, le système est sous rançon. Vous pouvez obtenir plus d’information sur ceci : https://www.ncsc.gov.uk/blog-post/fi…d-ransomware-0
Contactez votre administrateur GA. Même si les outils de sécurité disponibles peuvent détecter et retirer les rançongiciels, il est important de rester vigilants et suivre les étapes désignées de votre compagnie.
Témoignages
Besoin de plus d'information ?
Remplissez le formulaire et l’un de nos spécialistes vous contactera dans les plus brefs délais.