WannaCry (Wana Decryptor .WNCRY)

Les malwares de type Ransomware et rançongiciels
Malekal_morte
Messages : 116212
Inscription : 10 sept. 2005 13:57

WannaCry (Wana Decryptor .WNCRY)

par Malekal_morte »

Le ransomware WannaCry (aka Wana Decryptor ou Wana Decrypt0r) est un Crypto-Ransomware (rançongiciel chiffreur de fichiers) apparu autour du 8 mai 2017.
Le but est de chiffrer les documents (crypter), pour les prendre en otage et vous réclamer de payer une rançon à travers des instructions de paiement en bitcoin.
WanaDecrypt0r-WannaCry.jpg
Wana Decrypt0r en vidéo :


Distribution du Ransomware Wana Decryptor

Ransomware à forte propagation, qui exploite la vulnérabilité : la vulnérabilité MS17-010 qui vise le serveur de partage de fichiers de Windows.
Ainsi, le ransomware a des capacités d'auto-propagation de type vers informatiques / Worm.

Toutes les mises à jour sont dispos là : la vulnérabilité MS17-010
Patch Windows XP contre la vulnérabilité MS17-010 : https://www.microsoft.com/fr-FR/downloa ... x?id=55245
WannaCry-Wana-Decryptor-ver-informatique-worm.png
Le schéma de l'infection, avec les différents fichiers droppés :
WannaCry-infection-flow1.jpg

!
il n'y a pas de quoi paniquer en France, puisque la majeur partie des ordinateurs sont connectés à internet via des routeur ou box, de ce fait, vos ordinateurs ne sont pas directement accessibles.
Se reporter à l'actualité : Wana Decryptor
Un jour/2 jours après environ 250k ordinateurs infectés de part le monde

Image

L'alerte de l'ANSSI :
Le CERT-FR recommande l’application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010).
De manière préventive, s’il n’est pas possible de mettre à jour un serveur, il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires.
En complément, le CERT-FR recommande la mise à jour des bases de signatures d’anti-virus.
*

Exemple de détection :

Code : Tout sélectionner

SHA256:	32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
Nom du fichier :	lhdfrgui.exe
Ratio de détection :	49 / 62
Date d'analyse :	2017-05-14 12:08:59 UTC (il y a 19 minutes) 

 Informations comportementales
Antivirus	Résultat	Mise à jour
Ad-Aware	Trojan.Ransom.WannaCryptor.H	20170514
AegisLab	Troj.Ransom.W32!c	20170514
AhnLab-V3	Trojan/Win32.WannaCryptor.R200572	20170514
ALYac	Trojan.Ransom.WannaCryptor	20170514
Antiy-AVL	Trojan[Ransom]/Win32.Scatter	20170514
Arcabit	Trojan.Ransom.WannaCryptor.H	20170514
Avast	Win32:WanaCry-A [Trj]	20170514
AVG	Ransom_r.CGA	20170513
Avira (no cloud)	BDS/Agent.ilyda	20170514
Baidu	Win32.Worm.Rbot.a	20170503
BitDefender	Trojan.Ransom.WannaCryptor.H	20170514
CAT-QuickHeal	TrojanRansom.Wanna	20170513
ClamAV	Win.Ransomware.WannaCry-6313787-0	20170514
CrowdStrike Falcon (ML)	malicious_confidence_100% (W)	20170130
Cyren	W32/Trojan.AHAZ-1193	20170514
DrWeb	Trojan.Encoder.11432	20170514
Emsisoft	Trojan-Ransom.WanaCrypt0r (A)	20170514
Endgame	malicious (high confidence)	20170503
ESET-NOD32	Win32/Exploit.CVE-2017-0147.A	20170514
F-Prot	W32/WannaCrypt.D	20170514
F-Secure	Trojan.Ransom.WannaCryptor.H	20170514
Fortinet	W32/WannaCryptor.D!tr	20170514
GData	Win32.Trojan-Ransom.WannaCry.D	20170514
Ikarus	Trojan.Win32.Filecoder	20170514
Invincea	virtool.win32.injector.eg	20170413
Jiangmin	Trojan.WanaCry.i	20170514
K7AntiVirus	Exploit ( 0050d7a31 )	20170514
K7GW	Exploit ( 0050d7a31 )	20170514
Kaspersky	Trojan-Ransom.Win32.Wanna.m	20170514
Malwarebytes	Ransom.WanaCrypt0r	20170514
McAfee	GenericR-JTA!D5DCD28612F4	20170514
McAfee-GW-Edition	Ransom-O	20170513
Microsoft	Ransom:Win32/WannaCrypt.A!rsm	20170514
eScan	Trojan.Ransom.WannaCryptor.H	20170514
NANO-Antivirus	Trojan.Win32.Ransom.eoptnj	20170514
nProtect	Ransom/W32.Wanna.3723264	20170514
Palo Alto Networks (Known Signatures)	generic.ml	20170514
Panda	Trj/RansomCrypt.I	20170514
Qihoo-360	Win32/Backdoor.80f	20170514
Rising	Ransom.FileCryptor!8.1A7 (cloud:pN1yUsg5xNU)	20170514
SentinelOne (Static ML)	static engine - malicious	20170330
Sophos	Troj/Ransom-EMG	20170514
Symantec	ML.Attribute.HighConfidence	20170513
Tencent	Win32.Trojan.Wanna.Wtds	20170514
TrendMicro	Ransom_WANA.A	20170514
TrendMicro-HouseCall	Ransom_WANA.A	20170514
VBA32	suspected of Trojan.Downloader.gen.h	20170512
Webroot	W32.Ransom.Wannacry	20170514
ZoneAlarm by Check Point	Trojan-Ransom.Win32.Wanna.m	20170514
(source : https://www.ssi.gouv.fr/actualite/alert ... ngiciel-2/)

La capture d'écran ci-dessous montre les pays les plus vulnérables, on retrouve bien, les pays les plus touchés par Wana Decryptor :
port-vulnerable-445.jpg
(source : shodan.io)

Exemple de fichiers chiffrés par le Wana Decryptor

Les fichiers chiffrés par Wana Decryptor portent l'extension de fichier .WNCRY

Afin de se lancer au démarrage de Windows, le ransomware Wana Decryptor créé une clé Run du type :
HKU\S-1-5-21-2568215945-4132293836-1244343729-1000\...\Run: [unndhxjz841] => "C:\Users\VINCEN~1\AppData\Local\Temp\tasksche.exe"
Le ransomware reste donc actif après installation, vous devez procéder à une désinfection de l'ordinateur.
Wana-Decryptor-ransomware.png
Le fond d'écran est modifié avec un message en rouge : Oops, your important files are encrypted.
Wana-Decryptor-ransomware-2.png
Les instructions de paiement dans le fichier @[email protected] :

Code : Tout sélectionner

Q:  What's wrong with my files?

A:  Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
    If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
    Let's start decrypting!

Q:  What do I do?

A:  First, you need to pay service fees for the decryption.
    Please send $300 worth of bitcoin to this bitcoin address: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

    Next, please find an application file named "@[email protected]". It is the decrypt software.
    Run and follow the instructions! (You may need to disable your antivirus for a while.)
    
Q:  How can I trust?

A:  Don't worry about decryption.
    We will decrypt your files surely because nobody will trust us if we cheat users.
    

*   If you need our assistance, send a message by clicking <Contact Us> on the decryptor window. 
Les fichiers droppés, où Installed_Folder peut-être un sous-dossier de programData (ex C:\ProgramData\unndhxjz841)
[Installed_Folder]\00000000.eky
[Installed_Folder]\00000000.pky
[Installed_Folder]\00000000.res
[Installed_Folder]\@[email protected]
[Installed_Folder]\@[email protected]
[Installed_Folder]\b.wnry
[Installed_Folder]\c.wnry
[Installed_Folder]\f.wnry
[Installed_Folder]\msg\
[Installed_Folder]\msg\m_bulgarian.wnry
[Installed_Folder]\msg\m_chinese (simplified).wnry
[Installed_Folder]\msg\m_chinese (traditional).wnry
[Installed_Folder]\msg\m_croatian.wnry
[Installed_Folder]\msg\m_czech.wnry
[Installed_Folder]\msg\m_danish.wnry
[Installed_Folder]\msg\m_dutch.wnry
[Installed_Folder]\msg\m_english.wnry
[Installed_Folder]\msg\m_filipino.wnry
[Installed_Folder]\msg\m_finnish.wnry
[Installed_Folder]\msg\m_french.wnry
[Installed_Folder]\msg\m_german.wnry
[Installed_Folder]\msg\m_greek.wnry
[Installed_Folder]\msg\m_indonesian.wnry
[Installed_Folder]\msg\m_italian.wnry
[Installed_Folder]\msg\m_japanese.wnry
[Installed_Folder]\msg\m_korean.wnry
[Installed_Folder]\msg\m_latvian.wnry
[Installed_Folder]\msg\m_norwegian.wnry
[Installed_Folder]\msg\m_polish.wnry
[Installed_Folder]\msg\m_portuguese.wnry
[Installed_Folder]\msg\m_romanian.wnry
[Installed_Folder]\msg\m_russian.wnry
[Installed_Folder]\msg\m_slovak.wnry
[Installed_Folder]\msg\m_spanish.wnry
[Installed_Folder]\msg\m_swedish.wnry
[Installed_Folder]\msg\m_turkish.wnry
[Installed_Folder]\msg\m_vietnamese.wnry
[Installed_Folder]\r.wnry
[Installed_Folder]\s.wnry
[Installed_Folder]\t.wnry
[Installed_Folder]\TaskData\
[Installed_Folder]\TaskData\Data\
[Installed_Folder]\TaskData\Data\Tor\
[Installed_Folder]\TaskData\Tor\
[Installed_Folder]\TaskData\Tor\libeay32.dll
[Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
[Installed_Folder]\TaskData\Tor\libssp-0.dll
[Installed_Folder]\TaskData\Tor\ssleay32.dll
[Installed_Folder]\TaskData\Tor\taskhsvc.exe
[Installed_Folder]\TaskData\Tor\tor.exe
[Installed_Folder]\TaskData\Tor\zlib1.dll
[Installed_Folder]\taskdl.exe
[Installed_Folder]\taskse.exe
[Installed_Folder]\u.wnry
[Installed_Folder]\wcry.exe
WannaCry-WanaDecryptor-fichiers-malveillants.png
Se protéger et désinfecter et supprimer Wana Decryptor

Si vous avez été infecté :
Faites un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite ainsi qu'un scan en ligne avec NOD32.
Pour de l'aide, demandez de l'aide sur le forum : Aide supprimer les virus et trojans.

Pour se protéger de WanaCry :
1/ Faites la mise à jour de votre Windows.. Si Windows est à jour, vous êtes protégé.

2/ Alternative : Désactivez le service SMB ou SMB1 de Windows si vous ne pouvez pas patcher la machine.

Panneau de configuration puis Programmes et fonctionnalités.
A gauche, cliquez sur Activer/désactiver des fonctionnalités de Windows.
Décochez : Support de partage de fichiers SMB 1.0 / CIFS

3/ Vous pouvez aussi Bloquer le partage de fichiers (SMB) avec le pare-feu de Windows, si vous n'utilisez pas le partage.

Panneau de configuration > Pare-feu.
A gauche, cliquez sur Autoriser un programme ou une fonctionnalité via le pare-feu de Windows.
Décocher le partage de fichiers et imprimante dans la liste.
WannaCry-Wana-Decryptor-filtrer-partage-fichiers-port-445.png
WannaCry-Wana-Decryptor-filtrer-partage-fichiers-port-445-suite.png
Wana-Decryptor-desactiver-SMB1.png
Récupérer les fichiers .WNCRY

La récupération des fichiers chiffrés par le ransomware Wana Decryptor est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers

Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
Comment se protéger des scripts malveillants sur Windows
et limiter PowerShell : Les virus Powershell

et plus globalement, suivez les conseils de la page : Sécuriser son Windows.

Liens autour de WanaDecryptor
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116212
Inscription : 10 sept. 2005 13:57

Re: Wanna Decryptor .WNCRY

par Malekal_morte »

A noter que la première version se nommait Wanna Decryptor 1.0 sans traduction (fin Avril)
(avec deux n)
Wanna-Decryptor.png
Le fichier instruction porte aussi un nom différent : !Please Read Me!.txt
(sans les @)
L'extension de fichiers reste .WNCRY
Wanna-Decryptor-2.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Ransomware »