Les experts de cybersécurité et les autorités informatiques affirment qu’hier, une attaque de ransomware de très grande envergure a eu lieu dans plusieurs pays. Si le service public de santé britannique (NHS) ou encore le centre d’alerte et de réaction aux attaques informatiques (CERT) espagnol ont lancé des alertes plus tôt dans la journée, ce ne sont pas moins de 150 pays qui auraient été touchés par plus de 200 000 attaques selon les dernières infos de l’Europol mais le nombre et l’éventail de victimes sont probablement bien plus larges.
Baptisée WannaCry, l’attaque est initiée via l’exécution à distance d’un code SMBv2 dans Microsoft Windows. Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 Mars. Il semblerait que beaucoup d’entreprises n’aient pas installé le correctif.
Apparemment, les systèmes concernés sont les suivants:
Microsoft Windows Vista SP2 Windows Server 2008 SP2 and R2 SP1 Windows 7 Windows 8.1 Windows RT 8.1 Windows Server 2012 and R2 Windows 10 Windows Server 2016
Détails techniques:
Le code malveillant n’est pas crypté et lance les commandes suivantes:
cmd.exe/c vssadmin delete shadows /all / quiet & wmic shadowcopy delete & bcdedit / set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quietvs
Le porte-monnaie à payer est:
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
La liste des fichiers qu’il chiffre :
.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot . 3ds .max .3dm .ods .ots .sxc .stc .dif .slk . wb2 .odp .otp .sxd .std .uop .odg .otg .sxm . mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql . accdb .mdb .dbf . odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cpp .pas .asm .cmd .bat .ps1 .vbs .dip .dch .sch .brd .jsp .php . asp .java .jar .class .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv . wma .mid .m3u .m4u .djvu .svg .psd .nef .tiff .tif .cgm .raw .gif .png . bmp .jpg .jpeg .vcd .iso .backup . zip .rar . tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg . vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf . csv .txt .vsdx .vsd .edb .eml .msg .ost .pst . potm .potx . ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw . xlsb .xlsm .xlsx .xls .dotx .dotm . dot .docm .docb .docx .doc