Les PC Windows XP infectés par WannaCry pourraient déchiffrer les fichiers sans payer de rançon
Un outil est disponible mais il a une portée limitée

Le , par Stéphane le calme, Chroniqueur Actualités
Selon Adrien Guinet, un chercheur travaillant pour le compte de la start-up française Quarkslab, les propriétaires de certains ordinateurs Windows XP infectés par le ransomware WannaCry seraient en mesure de déchiffrer leurs données sans passer par la case « paiement de la rançon ».

À cet effet, il a publié un outil qui « permet de récupérer les nombres premiers de la clé privée RSA utilisée par Wanacry ». Le logiciel « y parvient en les recherchant dans le processus wcry.exe. C'est le processus qui génère la clé privée RSA. Le problème principal est que CryptDestroyKey et CryptReleaseContext n'effacent pas les nombres premiers de la mémoire avant de libérer la mémoire associée ».

Le chercheur précise qu’il ne s’agit pas en réalité d’une erreur de la part des auteurs du ransomware étant donné qu’ils ont utilisé correctement l’API Windows Crypto : « En effet, pour avoir fait des tests, sous Windows 10, CryptReleaseContext nettoie la mémoire (et donc cette technique de récupération n’y fonctionnera pas). Elle peut fonctionner sous Windows XP, car, dans cette version, CryptReleaseContext ne fait pas le nettoyage. En outre, MSDN indique ceci, pour cette fonction: "Après l’appel de cette fonction, la CSP libérée n'est plus valide. Cette fonction ne détruit pas les conteneurs de clés ou les paires de clés". Donc, il semble qu'il n'y ait aucun moyen propre et multiplateforme sous Windows pour effacer cette mémoire ».

Le logiciel n'a pas encore été testé pour voir s’il fonctionne de manière fiable sur une grande variété d'ordinateurs XP et, même s'il fonctionne, il y a probablement des limites : « Pour fonctionner, votre ordinateur ne doit pas avoir été redémarré après avoir été infecté. Notez également que vous avez besoin d'un peu de chance pour que cela fonctionne (voir ci-dessous), et cela pourrait ne pas fonctionner dans tous les cas ! », a prévenu le chercheur.

Le ransomware utilise l'interface Microsoft Cryptographic Application Program incluse dans Windows pour gérer plusieurs des fonctions, y compris la génération de la clé pour le chiffrement et le déchiffrement des fichiers. Après avoir créé et sécurisé, la clé, l'interface efface la clé sur la plupart des versions de Windows.

Une limitation précédemment ignorée dans XP, cependant, peut empêcher l'effacement dans cette version de Windows. En conséquence, les nombres premiers utilisés pour générer une clé secrète WannaCry peuvent rester intacts dans la mémoire de l'ordinateur jusqu'à ce que la machine soit éteinte. Wannakey a pu explorer avec succès la mémoire d'une machine XP infectée et extraire les variables p et q sur lesquelles la clé secrète était basée.

D’ailleurs, dans un échange sur Twitter avec Matt Suiche, un chercheur en sécurité et accessoirement fondateur de Comae Technologies, Guinet a confirmé que, dans le cas que Suiche lui a présenté, il a été en mesure de récupérer la clé privée sur un système Windows XP.


Jusqu'à présent, il n'y a aucune indication que la limitation qui a permis à Guinet de récupérer la clé WannaCry est présente dans des versions plus récentes de Windows. Cela signifie que les victimes de WannaCry sur d'autres versions n'ont toujours aucun moyen connu de déchiffrer leurs données autrement que de payer la rançon. Néanmoins, la découverte de Guinet donne déjà un début de solution.

Les entreprises, les gouvernements et les particuliers dans 99 pays à travers le monde ont été victimes de plus de 75 000 attaques de cette souche de ransomware en quelques heures seulement. Parmi les victimes, des services d'hôpitaux en Angleterre, des entreprises telles que Telefónica en Espagne, ou même des écoles et universités.

Le ransomware Wannacrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor) exige 300 $ en bitcoins pour le déverrouillage des fichiers qu’il a chiffrés, une rançon qui double après trois jours. Les utilisateurs sont également menacés de voir tous leurs fichiers supprimés en permanence si la rançon n'est pas payée dans l’intervalle d’une semaine.

Source : WannaKey (GitHub), Twitter Matthieu Suiche


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 19/05/2017 à 12:07
Après le botnet qui fixe la faille de sécurité par laquelle il est rentré, on va avoir la faille de sécurité qui va permettre de réparer les dégâts d'un virus qui agit grâce à une faille de sécurité.

Tu m'étonnes que les gens n'y comprennent rien
Avatar de atha2 atha2 - Membre éprouvé https://www.developpez.com
le 19/05/2017 à 17:40
Ça peut toujours servir mais combien d’utilisateurs ont redémarré leurs PC pour voir s'il pouvait ainsi récupérer l'accès à leur donnée ? La plupart à mon avis
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 19/05/2017 à 18:27
Citation Envoyé par Marco46 Voir le message
Après le botnet qui fixe la faille de sécurité par laquelle il est rentré, on va avoir la faille de sécurité qui va permettre de réparer les dégâts d'un virus qui agit grâce à une faille de sécurité.

Tu m'étonnes que les gens n'y comprennent rien
Oui enfin le botnet qui corrige la faille par laquelle il est entrée, en fait c'est très courant : ça évite qu'une autre personne reprenne le contrôle de la machine que l'on a contaminé.
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 20/05/2017 à 13:42
WannaCry : un nouvel outil de déchiffrement a été testé et fonctionne de Windows XP à Windows 7,
le prérequis de ne pas redémarrer l'ordinateur reste valable

Adrien Guinet, un chercheur travaillant pour le compte de la start-up française Quarkslab, a publié un outil qu’il a appelé WannaKey pour effectuer la récupération de clé RSA sur les machines Windows XP qui ont été infectées par le ransomware WannaCry. Précisons que son outil ne cherche pas la clé réelle, mais les nombres premiers en mémoire pour recalculer la clé elle-même.

Le logiciel « y parvient en les recherchant dans le processus wcry.exe. C'est le processus qui génère la clé privée RSA. Le problème principal est que CryptDestroyKey et CryptReleaseContext n'effacent pas les nombres premiers de la mémoire avant de libérer la mémoire associée ».

Le chercheur précise qu’il ne s’agit pas en réalité d’une erreur de la part des auteurs du ransomware étant donné qu’ils ont utilisé correctement l’API Windows Crypto : « En effet, pour avoir fait des tests, sous Windows 10, CryptReleaseContext nettoie la mémoire (et donc cette technique de récupération n’y fonctionnera pas). Elle peut fonctionner sous Windows XP, car, dans cette version, CryptReleaseContext ne fait pas le nettoyage. En outre, MSDN indique ceci, pour cette fonction: "Après l’appel de cette fonction, la CSP libérée n'est plus valide. Cette fonction ne détruit pas les conteneurs de clés ou les paires de clés". Donc, il semble qu'il n'y ait aucun moyen propre et multiplateforme sous Windows pour effacer cette mémoire ».

Dans un échange sur Twitter avec Matt Suiche, un chercheur en sécurité, MVP Microsoft et accessoirement fondateur de Comae Technologies, Guinet a confirmé que, dans le cas que Suiche lui a présenté, il a été en mesure de récupérer la clé privée sur un système Windows XP.

Matt Suiche a confirmé que le développeur Benjamin Delpy, Directeur de Projets Sécurité chez Banque de France, a commencé à travailler sur sa propre solution à toutes fins utiles qui s’appuie sur OpenSSL et la méthodologie d’Adrien pour récupérer la clé de la mémoire. Il s’est également servi de leurs recherches en commun (celles de Suiche et lui) pour résoudre les problèmes de format de fichier et créer une version 100 % compatible avec le système d'exploitation Windows de Windows XP à Windows 7.

« En fait, WanaKiwi de Benjamin Delpy fonctionne sur Windows XP (x86 confirmé) et Windows 7 (x86 confirmé). Cela impliquerait qu'il fonctionne pour chaque version de Windows de XP à 7, y compris Windows 2003 (x86 confirmé), Vista et 2008 et 2008 R2 », a indiqué le chercheur.

« WanaKiwi recrée également les fichiers .dky attendus du ransomware par les attaquants, ce qui le rend compatible avec le ransomware lui-même. Cela empêche également WannaCry de chiffrer d'autres fichiers », a assuré Suiche.

Comme pour la méthodologie de Guinet, cette méthode repose sur la recherche de nombres premiers en mémoire si la mémoire n'a pas été réutilisée : cela signifie qu'après une certaine période de temps, la mémoire peut être réutilisée et ces nombres premiers peuvent être effacés. De plus, cela signifie aussi que la machine infectée ne devrait pas être redémarrée.

Les entreprises, les gouvernements et les particuliers dans 99 pays à travers le monde ont été victimes de plus de 75 000 attaques de cette souche de ransomware en quelques heures seulement. Parmi les victimes, des services d'hôpitaux en Angleterre, des entreprises telles que Telefónica en Espagne, ou même des écoles et universités.

Le ransomware Wannacrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor) exige 300 $ en bitcoins pour le déverrouillage des fichiers qu’il a chiffrés, une rançon qui double après trois jours. Les utilisateurs sont également menacés de voir tous leurs fichiers supprimés en permanence si la rançon n'est pas payée dans l’intervalle d’une semaine.

Source : blog Matt Suiche
Avatar de Coriolan Coriolan - Chroniqueur Actualités https://www.developpez.com
le 20/05/2017 à 20:02
WannaCry : c'est Windows 7 qui a le plus contribué à la propagation du ransomware avec 98 % des infections
Windows XP n'a joué qu'un rôle minime

Une semaine après l’attaque dévastatrice du ransomware WannaCrypt, les rapports des chercheurs et firmes de sécurité continuent de surgir à propos de cette attaque. En effet, les experts de sécurité veulent expliquer les mécanismes qui ont aidé le malware à se propager avec une vitesse éclair qui a pris le monde par surprise.

Le dernier rapport en date vient de Kaspersky Lab, la firme de sécurité a constaté que la part de lion des systèmes touchés n’a pas été celle de Windows XP, mais plutôt Windows 7. Plus de 98 % des systèmes affectés par l’attaque tournaient sous Windows 7.

Selon les chiffres publiés par la firme, la version 64 bits de Windows 7 a été la plus affectée, représentant 60,35 % de toutes les infections. En deuxième position, Windows 7 a été touché par 31,72 % des attaques et 6,28 % pour Windows 7 Home (les versions 32 bits et 64 bits combinées). À ce point, on pourrait s’attendre à ce que les infections de Windows XP occupent la place suivante, mais ça n’a pas été le cas. Windows 2008 R2 Server a été plus touché avec un peu moins de 1 % des infections. En réalité, le pourcentage des infections de Windows XP est négligeable puisqu’il ne dépasse pas les 0,10 % (moins d’un système infecté sur mille).


Windows 7 continue d’être la version de Windows la plus utilisée, faisant tourner quatre fois plus d’ordinateurs que Windows 10, la dernière version de Windows en date lancée publiquement par Microsoft le 29 juillet 2015. Selon NetMarketShare, Windows 7 représente 48,5 % du marché des OS de bureau alors que Windows XP ne représente que 7,04 %. C’est donc sans surprise que 7 a été plus affecté par l’attaque de Wcry, mais même avec sa part de marché, le pourcentage de 98 % est stupéfiant !

Ces nouveaux chiffres viennent après que des rapports antérieurs ont donné l’illusion que Windows XP a joué un rôle important dans la propagation de l’attaque du fait que l’OS est obsolète et reste encore très utilisé. Il n’en reste pas moins que Microsoft a réagi et a publié en urgence des mises à jour de sécurité, y compris pour Windows XP qui a reçu son premier patch en trois ans.

Il faudrait savoir que les utilisateurs de Windows 7 ont reçu un patch de sécurité des mois avant l’attaque, mais le correctif de Windows XP n’a été rendu disponible qu’après la révélation de l’attaque en tant que mesure d’urgence et après que le mal a été fait. Le patch a été disponible pour les utilisateurs inscrits dans le programme payant du Custom Support destiné à étendre le support de Microsoft pour son vieil OS. Cela veut dire que la majorité des utilisateurs de Windows XP sont restés vulnérables à l’attaque, et chaque machine tournant sous XP a constitué un vecteur d’attaque potentielle pour le ransomware. Heureusement, les chiffres de Kaspersky montrent que le rôle de XP dans la propagation de WCry a été minime.

Pour ceux touchés par l’attaque, les chercheurs de sécurité ont commencé à publier des outils de déchiffrement. Adrien Guinet, un chercheur travaillant pour le compte de la start-up française Quarkslab, a publié un outil qu’il a appelé WannaKey pour effectuer la récupération de clé RSA sur les machines Windows XP qui ont été infectées par le ransomware WannaCry. Précisons que son outil ne cherche pas la clé réelle, mais les nombres premiers en mémoire pour recalculer la clé elle-même. Cet outil supporte Windows 7, XP, Vista et les autres versions de Windows.

Source : Tweet(Costin Raiu)

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Les PC Windows XP infectés par WannaCry pourraient déchiffrer les fichiers sans payer de rançon, un outil est disponible mais il a une portée limitée
WannaCry : un nouvel outil de déchiffrement a été testé et fonctionne de Windows XP à 7, le prérequis de ne pas redémarrer l'ordinateur reste valable
Le ransomware WannaCrypt a rapporté 80 000 dollars à ses auteurs, le collectif Résistance Cyber appelle à revoir le modèle de sécurité en France
Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 20/05/2017 à 21:15
Qui a dit dette technique ?
Dans quelle unité se fait l'évaluation ? Milliards ? Dizaine de milliards ?
Avatar de mh-cbon mh-cbon - Membre actif https://www.developpez.com
le 21/05/2017 à 11:29
> Il faudrait savoir que les utilisateurs de Windows 7 ont reçu un patch de sécurité des mois avant l’attaque

dans ce cas là comment se fait il que l'attaque ai réussit ?

Les utilisateurs de windows 7 ne mettent pas à jour leurs os ? De souvenir y'a des rappels automatique, non ?

Le port SMB ouvert sur le lan OK, mais sur le wan ? wtf

Moi je n'arrive à me figurer comment ils établissent leurs statistiques,
le worm utilise doublepulsar parce qu'il patch la faille SMB, non ?
(pas clair dans ce genre d'analyses https://blog.malwarebytes.com/threat...s-wanacrypt0r/)
Si une entreprise est infectée, elle ne peut pas être scannée de l'extérieur de par les par-feux.
Un particulier lambda, dans 95% des cas, n'ouvre pas les ports SMB.
Donc, je m’interroge, que sont ces stats, de quelles populations parlent t'on, comment sont ils faits etc.

Je lisais quelque part que l'infection après la première nuit s'élevait à 100K machines,
apparemment c'était en février, là on est 60/90 jours plus tard,
https://fr.wikipedia.org/wiki/WannaCry#Contexte

https://en.wikipedia.org/wiki/Windows_7
> over 100 million copies had been sold worldwide, increasing to over 630 million licenses by July 2012, and a market share of 49.42%

100K/630M (a minima) faites vos calculs, c'est peu.

Ce genre d'histoire sera bien plus palpitante et croustillante quand se sera le tour des IOT.

Par ailleurs,
https://en.wikipedia.org/wiki/WannaC...he_cyberattack
> On 12 May 2017 WannaCry began affecting computers worldwide,[48] with evidence pointing to an initial infection in Asia at 7:44am UTC.[8][49] The initial infection was likely through an exposed vulnerable SMB port,[50] rather than email phishing as initially assumed.[8]

donc ? on ne sait pas.

en bref, je m'interroge.
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 21/05/2017 à 12:35
Les utilisateurs de windows 7 ne mettent pas à jour leurs os ?
Dans le 1000. Si Renault a été impact" c'est uniquement car leur parc n'est pas a jour. Bravo pour l'image

De souvenir y'a des rappels automatique, non ?
Si le PC est mis a jour via WSUS ou SCCM c'est l'admin qui pousse les mises a jour. Le poste client n'a pas access a Windows Update et ne vera donc rien.

Le port SMB ouvert sur le lan OK, mais sur le wan ? wtf
Ca montre clairement l'incompetence....

Ce genre d'histoire sera bien plus palpitante et croustillante quand se sera le tour des IOT.
Ce fut le cas il n'y a pas si longtemp. Resultat => un DDos qui a mit internet down....
Avatar de BufferBob BufferBob - Expert éminent https://www.developpez.com
le 21/05/2017 à 13:09
Citation Envoyé par mh-cbon Voir le message
Le port SMB ouvert sur le lan OK, mais sur le wan ? wtf
je crois qu'il était question d'un stage1 par mail en fait, ce qui explique finalement que le malware ne se propage pas si bien que ça sur internet, mais que dans les entreprises où il se propage il défonce tout l'intranet très rapidement
Avatar de NSKis NSKis - En attente de confirmation mail https://www.developpez.com
le 21/05/2017 à 15:13
WannaCry : c'est Windows 7 qui a le plus contribué à la propagation du ransomware avec 98 % des infections
Windows XP n'a joué qu'un rôle minime
Nooooon? Incroyable! Win7 le principal concurrent qui empêche la généralisation de Win10?

Y-a-pas-à-dire les Dieux de la technologie sourient aux commerciaux responsables de la vente de Win10
Contacter le responsable de la rubrique Accueil