Cylance Protect

WannaCry

EXPERTISES TI – SÉCURITÉ
CENTRE D’INFORMATION WANNACRY

Survol du vers WannaCry

Premièrement, voici un survol du vers WannaCry pour vous familiariser avec l’arrière-plan de ce rançongiciel.

Worm (i.e. mssecsvc.exe)
Le vers est le premier attaquant et est responsable du comportement du vers du rançongiciel. Il pèse 3.6mb et contient l’URL « killswitch » ainsi que l’exploitant SMB pour MS17-10. Il comprend le second niveau d’attaquant sécurisé comme étant une ressource nommée R. Puisque l’attaquant est sécurisé et non autrement compressé ou obscurci, la détection linéaire pour ses attaquants détectera toujours le vers à moins que d’autres conditions soient ajoutées à ces règles.

La propagation fonctionne en générant des adresses IP de façon aléatoire et essai de se connecter et ensuite exploiter le système hors site. Nous irons dans plus de détails plus loin sur comment les exploitants de charge utile sont créés, mais le point important à savoir est que la charge utile est générée en mémoire et livrée à travers le réseau vers la mémoire processeur exploitée. Une fois que le code d’exécution est envoyé dans la charge utile, son seul but est de déposer une copie du vers au disque et l’exécuter.

La plupart des distributeurs d’antivirus, incluant Cylance, auront une opportunité de prévenir WannaCry. À moins, évidemment, que le fournisseur hameçonne des fonctions dans les processus noyaux, ce qui serait une proposition risquée et pourrait même augmenter la surface d’attaque.

Inscription aux webinaires/Enregistrements
Foire aux questions
    • Ou puis-je trouver plus d’informations ?
      Vous référez aux affichages de United States Computer Emergency Readiness Team pour plus de détails : https://www.us-cert.gov/ncas/alerts/TA17-132A
    • Comment cette attaque s’est produite ?
      De croyance populaire la source de l’attaque venait d’un courriel infecté.
    • Est-ce que cette attaque est terminée ?
      Non. Plusieurs rapports mentionnent que le rançongiciel a été arrêté avec le « killswitch » mais elle a seulement été ralentie. Les compagnies devraient demeurées vigilantes et garder un œil en gardant leur système à jour.
    • Qu’est-ce que l’attaque fait ?
      Le rançongiciel se dénomme de plusieurs façons : WCry, WannaCry, WanaCrypt0r, WannaCrypt, ou Wana Decrypt0r. Il agit comme un vers qui se propage automatiquement, le rendant extrêmement dangereux. Il encrypte les fichiers sur l’ordinateur affecté et se propage à d’autres ordinateurs via le réseau local et demande que vous payiez une rançon en échange Bitcoin pour la décryption.
    • Que puis-je faire à propos de cette menace ?
      Microsoft a déployé une mise à jour en mars dernier pour tous appareils Windows supportés. Si vous êtes sur Windows XP, 9 ou Server 2003, il est recommandé que vous installiez la dernière mise à jour de sécurité.
    • Malgré la « killswitch », vous pouvez aussi ajouter ces domaines sur les listes blanches :
      www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
      www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
      Ceci vous permet votre AV, filtres URL et pare-feu de bloquer vos adresses. Vous pouvez aussi ajouter les domaines ci-dessus sur un fichier hébergé système et sur votre serveur interne DNS pour vous assurer que le serveur « killswitch » ne soit jamais silencieux mais vous devez être certain que les machines vers lesquelles vous pointez sont toujours disponibles.
    • Quoi faire si votre ordinateur est infecté ?
      Si vous croyez que votre ordinateur est infecté et ne peut contacter aucun des hébergements ci-dessus, le système est sous rançon. Vous pouvez obtenir plus d’information sur ceci : https://www.ncsc.gov.uk/blog-post/fi…d-ransomware-0
      Contactez votre administrateur GA. Même si les outils de sécurité disponibles peuvent détecter et retirer les rançongiciels, il est important de rester vigilants et suivre les étapes désignées de votre compagnie.
Besoin de renseignements supplémentaires?

Remplissez le formulaire ci-dessous et un de nos spécialistes vous contactera dès que possible.

Pour plus d’informations, vous pouvez consulter cette présentation d’information sur WannaCry …

 
McAfee
VMware
Fortinet
Adobe
Cisco
 

Groupe Access

Fondé en 1993, le Groupe Access s’inscrit parmi les plus importants fournisseurs indépendants de services de technologie de l’information (TI) au Canada. Le Groupe Access fournit une gamme de services en TI et en processus d’affaires informatisés des plus complètes, à une multitude de clients corporatifs en Amérique du Nord.

Groupe Access
Share This