Le but est de chiffrer les documents (crypter), pour les prendre en otage et vous réclamer de payer une rançon à travers des instructions de paiement en bitcoin.
Wana Decrypt0r en vidéo :
Distribution du Ransomware Wana Decryptor
Ransomware à forte propagation, qui exploite la vulnérabilité : la vulnérabilité MS17-010 qui vise le serveur de partage de fichiers de Windows.
Ainsi, le ransomware a des capacités d'auto-propagation de type vers informatiques / Worm.
Toutes les mises à jour sont dispos là : la vulnérabilité MS17-010
Patch Windows XP contre la vulnérabilité MS17-010 : https://www.microsoft.com/fr-FR/downloa ... x?id=55245
Le schéma de l'infection, avec les différents fichiers droppés :
! | il n'y a pas de quoi paniquer en France, puisque la majeur partie des ordinateurs sont connectés à internet via des routeur ou box, de ce fait, vos ordinateurs ne sont pas directement accessibles. Se reporter à l'actualité : Wana Decryptor |
L'alerte de l'ANSSI :
*Le CERT-FR recommande l’application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010).
De manière préventive, s’il n’est pas possible de mettre à jour un serveur, il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires.
En complément, le CERT-FR recommande la mise à jour des bases de signatures d’anti-virus.
Exemple de détection :
Code : Tout sélectionner
SHA256: 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
Nom du fichier : lhdfrgui.exe
Ratio de détection : 49 / 62
Date d'analyse : 2017-05-14 12:08:59 UTC (il y a 19 minutes)
Informations comportementales
Antivirus Résultat Mise à jour
Ad-Aware Trojan.Ransom.WannaCryptor.H 20170514
AegisLab Troj.Ransom.W32!c 20170514
AhnLab-V3 Trojan/Win32.WannaCryptor.R200572 20170514
ALYac Trojan.Ransom.WannaCryptor 20170514
Antiy-AVL Trojan[Ransom]/Win32.Scatter 20170514
Arcabit Trojan.Ransom.WannaCryptor.H 20170514
Avast Win32:WanaCry-A [Trj] 20170514
AVG Ransom_r.CGA 20170513
Avira (no cloud) BDS/Agent.ilyda 20170514
Baidu Win32.Worm.Rbot.a 20170503
BitDefender Trojan.Ransom.WannaCryptor.H 20170514
CAT-QuickHeal TrojanRansom.Wanna 20170513
ClamAV Win.Ransomware.WannaCry-6313787-0 20170514
CrowdStrike Falcon (ML) malicious_confidence_100% (W) 20170130
Cyren W32/Trojan.AHAZ-1193 20170514
DrWeb Trojan.Encoder.11432 20170514
Emsisoft Trojan-Ransom.WanaCrypt0r (A) 20170514
Endgame malicious (high confidence) 20170503
ESET-NOD32 Win32/Exploit.CVE-2017-0147.A 20170514
F-Prot W32/WannaCrypt.D 20170514
F-Secure Trojan.Ransom.WannaCryptor.H 20170514
Fortinet W32/WannaCryptor.D!tr 20170514
GData Win32.Trojan-Ransom.WannaCry.D 20170514
Ikarus Trojan.Win32.Filecoder 20170514
Invincea virtool.win32.injector.eg 20170413
Jiangmin Trojan.WanaCry.i 20170514
K7AntiVirus Exploit ( 0050d7a31 ) 20170514
K7GW Exploit ( 0050d7a31 ) 20170514
Kaspersky Trojan-Ransom.Win32.Wanna.m 20170514
Malwarebytes Ransom.WanaCrypt0r 20170514
McAfee GenericR-JTA!D5DCD28612F4 20170514
McAfee-GW-Edition Ransom-O 20170513
Microsoft Ransom:Win32/WannaCrypt.A!rsm 20170514
eScan Trojan.Ransom.WannaCryptor.H 20170514
NANO-Antivirus Trojan.Win32.Ransom.eoptnj 20170514
nProtect Ransom/W32.Wanna.3723264 20170514
Palo Alto Networks (Known Signatures) generic.ml 20170514
Panda Trj/RansomCrypt.I 20170514
Qihoo-360 Win32/Backdoor.80f 20170514
Rising Ransom.FileCryptor!8.1A7 (cloud:pN1yUsg5xNU) 20170514
SentinelOne (Static ML) static engine - malicious 20170330
Sophos Troj/Ransom-EMG 20170514
Symantec ML.Attribute.HighConfidence 20170513
Tencent Win32.Trojan.Wanna.Wtds 20170514
TrendMicro Ransom_WANA.A 20170514
TrendMicro-HouseCall Ransom_WANA.A 20170514
VBA32 suspected of Trojan.Downloader.gen.h 20170512
Webroot W32.Ransom.Wannacry 20170514
ZoneAlarm by Check Point Trojan-Ransom.Win32.Wanna.m 20170514
La capture d'écran ci-dessous montre les pays les plus vulnérables, on retrouve bien, les pays les plus touchés par Wana Decryptor : (source : shodan.io)
Exemple de fichiers chiffrés par le Wana Decryptor
Les fichiers chiffrés par Wana Decryptor portent l'extension de fichier .WNCRY
Afin de se lancer au démarrage de Windows, le ransomware Wana Decryptor créé une clé Run du type :
Le ransomware reste donc actif après installation, vous devez procéder à une désinfection de l'ordinateur.HKU\S-1-5-21-2568215945-4132293836-1244343729-1000\...\Run: [unndhxjz841] => "C:\Users\VINCEN~1\AppData\Local\Temp\tasksche.exe"
Le fond d'écran est modifié avec un message en rouge : Oops, your important files are encrypted.
Les instructions de paiement dans le fichier @[email protected] :
Code : Tout sélectionner
Q: What's wrong with my files?
A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
Let's start decrypting!
Q: What do I do?
A: First, you need to pay service fees for the decryption.
Please send $300 worth of bitcoin to this bitcoin address: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
Next, please find an application file named "@[email protected]". It is the decrypt software.
Run and follow the instructions! (You may need to disable your antivirus for a while.)
Q: How can I trust?
A: Don't worry about decryption.
We will decrypt your files surely because nobody will trust us if we cheat users.
* If you need our assistance, send a message by clicking <Contact Us> on the decryptor window.
Se protéger et désinfecter et supprimer Wana Decryptor[Installed_Folder]\00000000.eky
[Installed_Folder]\00000000.pky
[Installed_Folder]\00000000.res
[Installed_Folder]\@[email protected]
[Installed_Folder]\@[email protected]
[Installed_Folder]\b.wnry
[Installed_Folder]\c.wnry
[Installed_Folder]\f.wnry
[Installed_Folder]\msg\
[Installed_Folder]\msg\m_bulgarian.wnry
[Installed_Folder]\msg\m_chinese (simplified).wnry
[Installed_Folder]\msg\m_chinese (traditional).wnry
[Installed_Folder]\msg\m_croatian.wnry
[Installed_Folder]\msg\m_czech.wnry
[Installed_Folder]\msg\m_danish.wnry
[Installed_Folder]\msg\m_dutch.wnry
[Installed_Folder]\msg\m_english.wnry
[Installed_Folder]\msg\m_filipino.wnry
[Installed_Folder]\msg\m_finnish.wnry
[Installed_Folder]\msg\m_french.wnry
[Installed_Folder]\msg\m_german.wnry
[Installed_Folder]\msg\m_greek.wnry
[Installed_Folder]\msg\m_indonesian.wnry
[Installed_Folder]\msg\m_italian.wnry
[Installed_Folder]\msg\m_japanese.wnry
[Installed_Folder]\msg\m_korean.wnry
[Installed_Folder]\msg\m_latvian.wnry
[Installed_Folder]\msg\m_norwegian.wnry
[Installed_Folder]\msg\m_polish.wnry
[Installed_Folder]\msg\m_portuguese.wnry
[Installed_Folder]\msg\m_romanian.wnry
[Installed_Folder]\msg\m_russian.wnry
[Installed_Folder]\msg\m_slovak.wnry
[Installed_Folder]\msg\m_spanish.wnry
[Installed_Folder]\msg\m_swedish.wnry
[Installed_Folder]\msg\m_turkish.wnry
[Installed_Folder]\msg\m_vietnamese.wnry
[Installed_Folder]\r.wnry
[Installed_Folder]\s.wnry
[Installed_Folder]\t.wnry
[Installed_Folder]\TaskData\
[Installed_Folder]\TaskData\Data\
[Installed_Folder]\TaskData\Data\Tor\
[Installed_Folder]\TaskData\Tor\
[Installed_Folder]\TaskData\Tor\libeay32.dll
[Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
[Installed_Folder]\TaskData\Tor\libssp-0.dll
[Installed_Folder]\TaskData\Tor\ssleay32.dll
[Installed_Folder]\TaskData\Tor\taskhsvc.exe
[Installed_Folder]\TaskData\Tor\tor.exe
[Installed_Folder]\TaskData\Tor\zlib1.dll
[Installed_Folder]\taskdl.exe
[Installed_Folder]\taskse.exe
[Installed_Folder]\u.wnry
[Installed_Folder]\wcry.exe
Si vous avez été infecté :
Faites un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite ainsi qu'un scan en ligne avec NOD32.
Pour de l'aide, demandez de l'aide sur le forum : Aide supprimer les virus et trojans.
Pour se protéger de WanaCry :
1/ Faites la mise à jour de votre Windows.. Si Windows est à jour, vous êtes protégé.
2/ Alternative : Désactivez le service SMB ou SMB1 de Windows si vous ne pouvez pas patcher la machine.
Panneau de configuration puis Programmes et fonctionnalités.
A gauche, cliquez sur Activer/désactiver des fonctionnalités de Windows.
Décochez : Support de partage de fichiers SMB 1.0 / CIFS
3/ Vous pouvez aussi Bloquer le partage de fichiers (SMB) avec le pare-feu de Windows, si vous n'utilisez pas le partage.
Panneau de configuration > Pare-feu.
A gauche, cliquez sur Autoriser un programme ou une fonctionnalité via le pare-feu de Windows.
Décocher le partage de fichiers et imprimante dans la liste.
Récupérer les fichiers .WNCRY
La récupération des fichiers chiffrés par le ransomware Wana Decryptor est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)
Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers
Sécuriser son Windows
Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
Comment se protéger des scripts malveillants sur Windows
et limiter PowerShell : Les virus Powershell
et plus globalement, suivez les conseils de la page : Sécuriser son Windows.
Liens autour de WanaDecryptor