Wannakey et Wanakiwi pour Wana Decyptor (XP,Win7, Vista ... seulement)

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Intermédiaire Expert
Intermédiaire Expert
Messages : 285
Inscription : 02 juin 2012 20:48

Wannakey et Wanakiwi pour Wana Decyptor (XP,Win7, Vista ... seulement)

Message par Parisien_entraide » 19 mai 2017 17:08

Un Français, Adrien GUINET (expert en sécurité informatique pour la société QuarksLab), a trouvé une solution pour remettre d'aplomb une machine infectée par Wana Decryptor (aka WannaCry).

Le gros soucis pour que l'opération se réalise, c'est qu'il est impératif que la machine n’ait pas été redémarrée une seule fois depuis son infection


Pour Windows XP


Le lien pour récupérer le programme :

https://github.com/aguinet/wannakey


L'opération se fait en ligne de commande via cmd.exe


La procédure est expliquée ici :

https://github.com/aguinet/wannakey


Cela permet de générer une clé, et ensuite, car le programme ne déchiffre pas les données, il faut aller sur :

https://github.com/odzhan/wanafork/
ou
https://github.com/gentilkiwi/wanadecrypt

Conscient que l'outil n'est pas très facile d'accès, le chercheur a fait savoir sur Twitter qu’il travaille à la mise au point d’un programme permettant d’utiliser Wannakey plus facilement pour le grand public.
Wanakey.png
Pourquoi cela ne fonctionne t- il que sous Windows XP ? (extrait de https://www.nextinpact.com/news/104328- ... acrypt.htm )

_________________________
"Le fonctionnement – partiel – de Wannakey s’appuie en fait sur une différence de fonctionnement de l’API Cyptographic de Windows. Le malware s’en sert en effet pour l’ensemble des opérations de chiffrement, sans chercher à réinventer la roue donc.

Ce qui a rendu WannaCrypt difficile à combattre jusqu’ici, c’est qu’il jette littéralement la clé RSA de chiffrement après utilisation. L’API de Windows ne garde par ailleurs aucune information en mémoire, pour des questions de sécurité. Sous Windows XP par contre, l’ancienne version de l’interface y laisse des traces, particulièrement les nombres premiers générés pour construire la clé. Wannakey est capable de récupérer ces informations.

Ces traces expliquent également pourquoi le programme ne fonctionnera pas à chaque fois. Non seulement la machine ne doit pas avoir été arrêtée ou redémarrée (vidage mémoire), mais il ne faut pas non plus que les données aient été remplacées par d’autres."
___________________________


Pour windows 7 il faut aller faire un tour ici : (fonctionne aussi avec Windows 2003 - x86 confirmed - , Vista, 2008 et 2008 R2)

https://github.com/gentilkiwi/wanakiwi
https://github.com/gentilkiwi/wanakiwi/releases

A lire :

https://blog.comae.io/wannacry-decrypti ... afb81112d
Benjamin Delpy, qui est directeur des projets de sécurité à la Banque de France, travaille sur WanaKiwi, qui semble donner des résultats prometteurs avec Windows 7 (si on ne reboot pas).
WanaKiwi.png

Pour Windows 10 pour l'instant les nouvelles ne sont pas bonnes
(en suivant la même démarche)

"La fonction CryptReleaseContext efface la mémoire sous Windows 10 » note Adrien Guinet. « Ce n’est pas vraiment une erreur des auteurs du ransomware, car ils utilisent correctement l’API Windows Crypto.
En effet, pour ce que j’ai testé, sous Windows 10, CryptReleaseContext nettoie la mémoire (et donc cette technique de récupération ne fonctionnera pas)"

_____________________________

Comptes twitter à suivre :

https://twitter.com/msuiche (Matthieu Suiche le cofondateur de la start-up CloudVolumes)

https://twitter.com/adriengnt
(Adrien Guinet)

https://twitter.com/gentilkiwi (Benjamin Delpy)

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86543
Inscription : 10 sept. 2005 13:57
Contact :

Re: Wannakey et Wanakiwi pour Wana Decyptor (XP,Win7, Vista ... seulement)

Message par Malekal_morte » 20 mai 2017 00:31

=)
Merci pour le post.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86543
Inscription : 10 sept. 2005 13:57
Contact :

Re: Wannakey et Wanakiwi pour Wana Decyptor (XP,Win7, Vista ... seulement)

Message par Malekal_morte » 20 mai 2017 13:26

J'ajoute que j'avais pas fait de news car les conditions pour récupérer les fichiers sont vraiment trop complexe...
Ne pas avoir redémarrer c'est peu probable que l'utilisateur ne l'ait pas fait.

De plus Windows XP n'a été probablement que très très peu touché, l'outil utilisé pour infecter les machines ne fonctionnent que sur Windows 7 64 bits.
Sur les autres versions de Windows, ça merde pas mal.

Je ferai une vidéo là dessus.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Intermédiaire Expert
Intermédiaire Expert
Messages : 285
Inscription : 02 juin 2012 20:48

Re: Wannakey et Wanakiwi pour Wana Decyptor (XP,Win7, Vista ... seulement)

Message par Parisien_entraide » 22 mai 2017 20:39

Malekal_morte a écrit :
20 mai 2017 13:26
J'ajoute que j'avais pas fait de news car les conditions pour récupérer les fichiers sont vraiment trop complexe...
Ne pas avoir redémarrer c'est peu probable que l'utilisateur ne l'ait pas fait.

De plus Windows XP n'a été probablement que très très peu touché, l'outil utilisé pour infecter les machines ne fonctionnent que sur Windows 7 64 bits.
Sur les autres versions de Windows, ça merde pas mal.
Tu as tout a fait raison, j'ai juste mis l'info pour le fait qu'il y avait une solution, tout en mettant en avant (en rouge) que la condition demandée était primordiale, mais évidemment dans les faits, tout le monde relance le PC
La solution reste donc anecdotique et accessoire (vu en plus le peu de XP touché) mais elle a le mérite d'exister (mais ca ne peut pas faire "une news")

Les chiffres de Kaspersky :

Windows 7 64 bits a été la plus touchée avec 60,35 % de toutes les infections
Windows 7 32 Bits classique et home (31,72 %)
Windows 2008 R2 Serveur a également été affecté et représente un peu plus de 1 % des attaques.

Windows XP de son côté est responsable d’à peine 0.03 % des infections

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86543
Inscription : 10 sept. 2005 13:57
Contact :

Re: Wannakey et Wanakiwi pour Wana Decyptor (XP,Win7, Vista ... seulement)

Message par Malekal_morte » 23 mai 2017 23:37

oui, voir explications : https://forum.malekal.com/viewtopic.php ... 53#p436011
mais il y a une version qui vise Windows 8.1 qui est arrivée.
A voir s'il va y avoir de nouvelles campagnes, mais bon, Windows 8.1 n'est pas super répandu.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités