WannaCry Analysis – Le ransom-worm qui sévit depuis 10 jours – mai 2017

Résumé des informations:

WannaCry est un ransomware ou ransomworm se propageant par le port SMB (445) grâce à l’exploit EternalBlue. Il installe le backdoor DOUBLEPULSAR (outil téléchargeant d’autres malwares codé par la NSA, en l’occurrence DOUBLEPULSAR télécharge et execute WannaCry).

Cibles: toute version avant windows 10 si elles ne sont pas patchés. La faille EternalBlue avait été patché par microsoft le 14 mars 2017, soit 59 jours avant la première infection, EternalBlue n’était pas un exploit 0 day au moment du déploiement de WannaCry.

Nombre de machines infectés :  plus de 200 000 en une semaine.

Première machine infectée:  le 12/05/2017 à 7h24 en Asie. (en se basant sur les data DNS queries)

Nom réél : WanaCrypt0r

  • Unicode string in the executable “WanaCrypt0r”

Effets indésirables:  Le rançongiciel crypte vos données personnelles les rendant inutilisables et vous impose un délai de 3 jours pour payer 300$ ou 7 jours pour payer 600$. L’argent que les victimes payent est en bitcoin, une monnaie virtuelle dont le propriétaire du porte-feuille est anonyme. Néanmoins, tout le monde s’accorde à conseiller de ne pas payer cette rançon car la décryption promise par les hackeurs n’est pas incluse dans le logiciel, il faut la faire avec une clé privée transmise ‘à la main’ par ces derniers, lesquels n’auront aucun scrupule à ne pas vous répondre.

Solution post infection :

  • Ne pas terminer le processus malveillant, ne pas redémarrer l’ordinateur.
  • Ne fonctionne que pour : (Windows XP;Windows Server 2003;Windows Vista;Windows Server 2008;Windows Server 2008 R2;Windows 7)
  • wanakiwi
  • Guide anglais pour utiliser wanakiwi

 

Solutions pré-infection:

  • Faire la mise à jour du système d’exploitation

Kill Switch : un kill switch est un mécanisme bloquant le fonctionnement d’une machine, d’une procédure, d’un mouvement, d’une opération.

WannaCry possède un Kill Switch, dans notre cas c’est un domaine-check-up.

tasksche.exe test si www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com répond, si c’est le cas, alors WannaCry s’auto-termine.

Résultat : le site est référencé et la menace écarté. Depuis, d’autres domaines check-up voient le jour. Une course est lancée afin de les héberger le plus tôt possible pour que le ransomware WanaCrypt0r s’auto-détruise sur la machine.

killswitch WannaCry

www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com a été mis en ligne ce qui a permis de stopper la propagation du ransomworm. Toutefois, si le réseaux nécessite de passer par un proxy la machine sera infecté (e.g les réseaux d’entreprise le + souvent).

Dernièrement ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com a été ajouté comme kill-switch, une énième provocation, contenant lmao qui signifie laughing my ass off, une exagération du ‘lol’ – laughing out loud très connu.

Les auteurs :  Mais qui est donc derrière les lignes de code de WannaCry ?                   Neel Mehta (chercheur chez Google) a fait un rapprochement entre Lazarus Group, une entité Nord-Coréenne et le code malicieux de WannaCry en trouvant des similitudes avec un backdoor datant de 2015 et attribué à Lazarus Group. Plus d’information ici.

 

Quelle finalité, quel but ?  La motivation de cette opération criminelle semblait être pécuniaire, mais la tournure récente montre qu’une volonté de nuire par le chaos fait surface et incite à penser que l’argent ne serait qu’une résolution secondaire.

Diagramme d’infection :

diagram wannacry

sources :

GITHUB FICHE TECHNIQUE DE WANNACRY

Blog de Didier Stevens

MalwareBytes labs analysis

Diagramme d’infection

 

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s