Rançongiciel WannaCry : la solution WannaKiwi pour récupérer les fichiers

[:fr]

LLe « rançongiciel » (ransomware) WannaCry avait infecté plus de 300.000 postes d’ordinateur à travers le monde en ce mois de mai 2017. Le code source du programme aurait été volé à la NSA en avril dernier. Plusieurs grandes entreprises ont été atteintes par l’attaque, autant que des institutions publiques. Les hôpitaux l’ont subi de plein fouet au Royaume-Uni, en Allemagne des gares ont été perturbées, et en France c’est notamment le cas de Renault qui a été obligé de mettre à l’arrêt plusieurs sites de production. Parmi les pays les plus touchés, on compte l’Asie, notamment parce que de nombreux utilisateurs y utilisent encore Windows XP, version très vulnérable à ce virus car ne recevant plus les mises à jour Windows.

La contamination de l’ordinateur se fait en particulier à travers des mails frauduleux, contenant des liens vers des répliques de sites connus. Le principal objectif du virus est ensuite de forcer l’utilisateur à payer une somme d’argent (300 dollars au début, puis cela double), en échange du déblocage potentiel de l’ordinateur. Ce n’est pas une pratique nouvelle, mais ce qui est inédit est l’ampleur de l’attaque.

Si WannaCry est actuellement en perte de vitesse, un autre « malware » (logiciel malveillant) a pris le relais : Adylkuzz. Il serait plus performant encore que WannaCry.

Face à cette vague d’attaques informatiques, on peut se sentir grandement démunis, car la principale caractéristique de ces virus est qu’ils bloquent ou ralentissent l’accès à nos fichiers. Rappelons qu’il ne faut surtout pas payer la rançon, notamment parce que cela financerait cette pratique illégale et brutale. Des informaticiens et hackers « white hat » ont rapidement cherché des solutions pour retrouver nos fichiers.

WannaKiwi et WannaKey, solutions frenchie

A l’heure actuelle, surtout deux grandes solutions ont été élaborées… par des français.

Le premier outil s’appelle WannaKey. Il a été développé par Adrien Guinet, chercheur pour la start-up française Quarkslab. Ce programme déverrouille la clé de cryptage qui est créée par le malware pour bloquer les données. Le problème, c’est que pour effectuer ce déchiffrement, il faut que la mémoire vive de l’ordinateur n’ait pas été effacée afin que WannaKey puisse récupérer les nombres premiers de la clé. Ainsi, la méthode peut s’avérer inefficace au bout d’un certain laps de temps, et totalement inutile après un redémarrage. Qui plus est, cela ne fonctionnera qu’avec Windows XP.

Étant donné que de nombreuses machines tournent sur des versions plus récentes de Windows, cette solution restait donc très limitée. Benjamin Delpy a donc élaboré davantage la méthode de déchiffrage proposée par Adrian Guinet, pour qu’elle puisse s’appliquer non seulement à Windows XP, mais aussi à Windows Vista et Windows 7. Le logiciel s’appelle WannaKiwi, et il a été conçu en seulement quelques jours. Mais là encore, petite limite : tout redémarrage rend WannaKiwi inefficace.

Ces deux solutions successives ne sont donc pas parfaites, mais peuvent permettre de prémunir de nombreuses victimes de la perte de leurs fichiers et éviter le paiement de toute rançon. Gratuit et facile d’utilisation, WannaKiwi peut se télécharger sur la plateforme de téléchargement GitHub. Et vous l’avez compris : si vous êtes infectés, ne redémarrez pas votre machine dans la panique, ce serait quasi fatal ; utilisez plutôt ce logiciel.

Des « cyberhéros » travaillent à freiner le malware

Dès les débuts de l’attaque, des « cyberhéros » ont permis d’endiguer le processus malveillant. L’un des premiers, c’est un chercheur anglais en cybersécurité, qui a donné « accidentellement » un sérieux coup de frein à la propagation du virus. Le premier jour de l’attaque, il étudie le code source de WannaCry, et découvre que ce dernier se connecte à un étrange nom de domaine de 41 signes. Surprise : ce nom de domaine n’appartient à personne. Il décide alors d’acquérir pour quelques euros ce nom de domaine. Selon lui, cela aurait permis d’empêcher l’infection d’au moins 100.000 terminaux.

On peut clairement voir, sur ce graphique qui a été publié par ce « sauveur », à l’heure de 19h une chute brutale des attaques. Ces dernières ont repris ensuite, peut-être du fait d’autres versions du ransonware, mais de façon moins exponentielle et même en baisse par la suite.

D’autres héros se sont illustrés, comme Matthieu Suiche, qui aurait empêché la propagation d’une nouvelle version du rançongiciel.

Quant aux mises à jour proposées par Microsoft, certes beaucoup trop tardivement, elles sont à effectuer au plus vite car les corrections apportées peuvent protéger votre machine.

Espérons en tout cas que de nouveaux instruments permettant de récupérer les fichiers bloqués soient élaborés dans les jours prochains, afin de contrer de la façon la plus performante possible cette colossale attaque.

[:]

Abonnez-vous à notre mag

Entrez votre adresse e-mail ici pour recevoir une notification de nos nouvelles publications.

Publicité

Les publicités servent à financer notre site internet, notre magazine étant totalement indépendant.

Suivez-nous

Rejoignez WIDE sur Facebook et sur Twitter.