WannaCry : un nouvel outil de déchiffrement a été testé et fonctionne de Windows XP à 7
Le prérequis de ne pas redémarrer l'ordinateur reste valable

81PARTAGES

8  0 
Adrien Guinet, un chercheur travaillant pour le compte de la start-up française Quarkslab, a publié un outil qu’il a appelé WannaKey pour effectuer la récupération de clé RSA sur les machines Windows XP qui ont été infectées par le ransomware WannaCry. Précisons que son outil ne cherche pas la clé réelle, mais les nombres premiers en mémoire pour recalculer la clé elle-même.

Le logiciel « y parvient en les recherchant dans le processus wcry.exe. C'est le processus qui génère la clé privée RSA. Le problème principal est que CryptDestroyKey et CryptReleaseContext n'effacent pas les nombres premiers de la mémoire avant de libérer la mémoire associée ».

Le chercheur précise qu’il ne s’agit pas en réalité d’une erreur de la part des auteurs du ransomware étant donné qu’ils ont utilisé correctement l’API Windows Crypto : « En effet, pour avoir fait des tests, sous Windows 10, CryptReleaseContext nettoie la mémoire (et donc cette technique de récupération n’y fonctionnera pas). Elle peut fonctionner sous Windows XP, car, dans cette version, CryptReleaseContext ne fait pas le nettoyage. En outre, MSDN indique ceci, pour cette fonction: "Après l’appel de cette fonction, la CSP libérée n'est plus valide. Cette fonction ne détruit pas les conteneurs de clés ou les paires de clés". Donc, il semble qu'il n'y ait aucun moyen propre et multiplateforme sous Windows pour effacer cette mémoire ».

Dans un échange sur Twitter avec Matt Suiche, un chercheur en sécurité, MVP Microsoft et accessoirement fondateur de Comae Technologies, Guinet a confirmé que, dans le cas que Suiche lui a présenté, il a été en mesure de récupérer la clé privée sur un système Windows XP.

Matt Suiche a confirmé que le développeur Benjamin Delpy, Directeur de Projets Sécurité chez Banque de France, a commencé à travailler sur sa propre solution à toutes fins utiles qui s’appuie sur OpenSSL et la méthodologie d’Adrien pour récupérer la clé de la mémoire. Il s’est également servi de leurs recherches en commun (celles de Suiche et lui) pour résoudre les problèmes de format de fichier et créer une version 100 % compatible avec le système d'exploitation Windows de Windows XP à Windows 7.

« En fait, WanaKiwi de Benjamin Delpy fonctionne sur Windows XP (x86 confirmé) et Windows 7 (x86 confirmé). Cela impliquerait qu'il fonctionne pour chaque version de Windows de XP à 7, y compris Windows 2003 (x86 confirmé), Vista et 2008 et 2008 R2 », a indiqué le chercheur.

« WanaKiwi recrée également les fichiers .dky attendus du ransomware par les attaquants, ce qui le rend compatible avec le ransomware lui-même. Cela empêche également WannaCry de chiffrer d'autres fichiers », a assuré Suiche.

Comme pour la méthodologie de Guinet, cette méthode repose sur la recherche de nombres premiers en mémoire si la mémoire n'a pas été réutilisée : cela signifie qu'après une certaine période de temps, la mémoire peut être réutilisée et ces nombres premiers peuvent être effacés. De plus, cela signifie aussi que la machine infectée ne devrait pas être redémarrée.

Les entreprises, les gouvernements et les particuliers dans 99 pays à travers le monde ont été victimes de plus de 75 000 attaques de cette souche de ransomware en quelques heures seulement. Parmi les victimes, des services d'hôpitaux en Angleterre, des entreprises telles que Telefónica en Espagne, ou même des écoles et universités.

Le ransomware Wannacrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor) exige 300 $ en bitcoins pour le déverrouillage des fichiers qu’il a chiffrés, une rançon qui double après trois jours. Les utilisateurs sont également menacés de voir tous leurs fichiers supprimés en permanence si la rançon n'est pas payée dans l’intervalle d’une semaine.

Source : blog Matt Suiche

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Coriolan
Chroniqueur Actualités https://www.developpez.com
Le 20/05/2017 à 20:02
WannaCry : c'est Windows 7 qui a le plus contribué à la propagation du ransomware avec 98 % des infections
Windows XP n'a joué qu'un rôle minime

Une semaine après l’attaque dévastatrice du ransomware WannaCrypt, les rapports des chercheurs et firmes de sécurité continuent de surgir à propos de cette attaque. En effet, les experts de sécurité veulent expliquer les mécanismes qui ont aidé le malware à se propager avec une vitesse éclair qui a pris le monde par surprise.

Le dernier rapport en date vient de Kaspersky Lab, la firme de sécurité a constaté que la part de lion des systèmes touchés n’a pas été celle de Windows XP, mais plutôt Windows 7. Plus de 98 % des systèmes affectés par l’attaque tournaient sous Windows 7.

Selon les chiffres publiés par la firme, la version 64 bits de Windows 7 a été la plus affectée, représentant 60,35 % de toutes les infections. En deuxième position, Windows 7 a été touché par 31,72 % des attaques et 6,28 % pour Windows 7 Home (les versions 32 bits et 64 bits combinées). À ce point, on pourrait s’attendre à ce que les infections de Windows XP occupent la place suivante, mais ça n’a pas été le cas. Windows 2008 R2 Server a été plus touché avec un peu moins de 1 % des infections. En réalité, le pourcentage des infections de Windows XP est négligeable puisqu’il ne dépasse pas les 0,10 % (moins d’un système infecté sur mille).


Windows 7 continue d’être la version de Windows la plus utilisée, faisant tourner quatre fois plus d’ordinateurs que Windows 10, la dernière version de Windows en date lancée publiquement par Microsoft le 29 juillet 2015. Selon NetMarketShare, Windows 7 représente 48,5 % du marché des OS de bureau alors que Windows XP ne représente que 7,04 %. C’est donc sans surprise que 7 a été plus affecté par l’attaque de Wcry, mais même avec sa part de marché, le pourcentage de 98 % est stupéfiant !

Ces nouveaux chiffres viennent après que des rapports antérieurs ont donné l’illusion que Windows XP a joué un rôle important dans la propagation de l’attaque du fait que l’OS est obsolète et reste encore très utilisé. Il n’en reste pas moins que Microsoft a réagi et a publié en urgence des mises à jour de sécurité, y compris pour Windows XP qui a reçu son premier patch en trois ans.

Il faudrait savoir que les utilisateurs de Windows 7 ont reçu un patch de sécurité des mois avant l’attaque, mais le correctif de Windows XP n’a été rendu disponible qu’après la révélation de l’attaque en tant que mesure d’urgence et après que le mal a été fait. Le patch a été disponible pour les utilisateurs inscrits dans le programme payant du Custom Support destiné à étendre le support de Microsoft pour son vieil OS. Cela veut dire que la majorité des utilisateurs de Windows XP sont restés vulnérables à l’attaque, et chaque machine tournant sous XP a constitué un vecteur d’attaque potentielle pour le ransomware. Heureusement, les chiffres de Kaspersky montrent que le rôle de XP dans la propagation de WCry a été minime.

Pour ceux touchés par l’attaque, les chercheurs de sécurité ont commencé à publier des outils de déchiffrement. Adrien Guinet, un chercheur travaillant pour le compte de la start-up française Quarkslab, a publié un outil qu’il a appelé WannaKey pour effectuer la récupération de clé RSA sur les machines Windows XP qui ont été infectées par le ransomware WannaCry. Précisons que son outil ne cherche pas la clé réelle, mais les nombres premiers en mémoire pour recalculer la clé elle-même. Cet outil supporte Windows 7, XP, Vista et les autres versions de Windows.

Source : Tweet(Costin Raiu)

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Les PC Windows XP infectés par WannaCry pourraient déchiffrer les fichiers sans payer de rançon, un outil est disponible mais il a une portée limitée
WannaCry : un nouvel outil de déchiffrement a été testé et fonctionne de Windows XP à 7, le prérequis de ne pas redémarrer l'ordinateur reste valable
Le ransomware WannaCrypt a rapporté 80 000 dollars à ses auteurs, le collectif Résistance Cyber appelle à revoir le modèle de sécurité en France
Avatar de marsupial
Membre expert https://www.developpez.com
Le 20/05/2017 à 21:15
Qui a dit dette technique ?
Dans quelle unité se fait l'évaluation ? Milliards ? Dizaine de milliards ?
Avatar de mh-cbon
Membre averti https://www.developpez.com
Le 21/05/2017 à 11:29
> Il faudrait savoir que les utilisateurs de Windows 7 ont reçu un patch de sécurité des mois avant l’attaque

dans ce cas là comment se fait il que l'attaque ai réussit ?

Les utilisateurs de windows 7 ne mettent pas à jour leurs os ? De souvenir y'a des rappels automatique, non ?

Le port SMB ouvert sur le lan OK, mais sur le wan ? wtf

Moi je n'arrive à me figurer comment ils établissent leurs statistiques,
le worm utilise doublepulsar parce qu'il patch la faille SMB, non ?
(pas clair dans ce genre d'analyses https://blog.malwarebytes.com/threat...s-wanacrypt0r/)
Si une entreprise est infectée, elle ne peut pas être scannée de l'extérieur de par les par-feux.
Un particulier lambda, dans 95% des cas, n'ouvre pas les ports SMB.
Donc, je m’interroge, que sont ces stats, de quelles populations parlent t'on, comment sont ils faits etc.

Je lisais quelque part que l'infection après la première nuit s'élevait à 100K machines,
apparemment c'était en février, là on est 60/90 jours plus tard,
https://fr.wikipedia.org/wiki/WannaCry#Contexte

https://en.wikipedia.org/wiki/Windows_7
> over 100 million copies had been sold worldwide, increasing to over 630 million licenses by July 2012, and a market share of 49.42%

100K/630M (a minima) faites vos calculs, c'est peu.

Ce genre d'histoire sera bien plus palpitante et croustillante quand se sera le tour des IOT.

Par ailleurs,
https://en.wikipedia.org/wiki/WannaC...he_cyberattack
> On 12 May 2017 WannaCry began affecting computers worldwide,[48] with evidence pointing to an initial infection in Asia at 7:44am UTC.[8][49] The initial infection was likely through an exposed vulnerable SMB port,[50] rather than email phishing as initially assumed.[8]

donc ? on ne sait pas.

en bref, je m'interroge.
Avatar de Aeson
Nouveau Candidat au Club https://www.developpez.com
Le 21/05/2017 à 12:35
Les utilisateurs de windows 7 ne mettent pas à jour leurs os ?
Dans le 1000. Si Renault a été impact" c'est uniquement car leur parc n'est pas a jour. Bravo pour l'image

De souvenir y'a des rappels automatique, non ?
Si le PC est mis a jour via WSUS ou SCCM c'est l'admin qui pousse les mises a jour. Le poste client n'a pas access a Windows Update et ne vera donc rien.

Le port SMB ouvert sur le lan OK, mais sur le wan ? wtf
Ca montre clairement l'incompetence....

Ce genre d'histoire sera bien plus palpitante et croustillante quand se sera le tour des IOT.
Ce fut le cas il n'y a pas si longtemp. Resultat => un DDos qui a mit internet down....
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 21/05/2017 à 13:09
Citation Envoyé par mh-cbon Voir le message
Le port SMB ouvert sur le lan OK, mais sur le wan ? wtf
je crois qu'il était question d'un stage1 par mail en fait, ce qui explique finalement que le malware ne se propage pas si bien que ça sur internet, mais que dans les entreprises où il se propage il défonce tout l'intranet très rapidement
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 21/05/2017 à 15:13
WannaCry : c'est Windows 7 qui a le plus contribué à la propagation du ransomware avec 98 % des infections
Windows XP n'a joué qu'un rôle minime
Nooooon? Incroyable! Win7 le principal concurrent qui empêche la généralisation de Win10?

Y-a-pas-à-dire les Dieux de la technologie sourient aux commerciaux responsables de la vente de Win10
Avatar de marsupial
Membre expert https://www.developpez.com
Le 21/05/2017 à 16:19
Citation Envoyé par mh-cbon Voir le message

Donc, je m’interroge, que sont ces stats, de quelles populations parlent t'on, comment sont ils faits etc.
Kaspersky a essentiellement pour coeur de clientèle les entreprises. Il suffit que la version de Kaspersky ne soit pas à jour et Wannacrypt passe, d'où les stats.

Adylkuzz, autre ver utilisant la même faille, et le coup de chance de kill switch ont tous les deux permis d'éviter le pire. Pas que la situation n'ait pas été catastrophique, mais elle aurait pu être bien pire.

Ici, il y a 10 semaines de dette technique pour sans doute des milliards, ou dizaines de milliards, de dégats. Lorsque certains SI était encore en XP SP1 4 ans après la sortie du SP2, on peut légitimement s'interroger sur le coût de la dette technique. Et donc les mesures à prendre par les directions afin de réduire le ratio; ne serait-ce que pour la sécurité.

Le seul point positif dans toute cette affaire reste la prise de conscience de la nécessité de prendre au sérieux la sécurité du SI tout en restant conscient qu'on a eu beaucoup plus chaud que ne se l'imagine les dirigeants. Une prochaine fois, ...
Avatar de mh-cbon
Membre averti https://www.developpez.com
Le 21/05/2017 à 23:32
Wannacrypt, la preuve que les av fonctionnent, tant que tu n'utilises pas ton PC

...le coup de chance de kill switch...
AMHA, le hacker avait peur d'auto infecté son pc par ricochet, d'où le frein à main Voilà, là ça fait sens lol

Ici, il y a 10 semaines de dette technique pour sans doute des milliards, ou dizaines de milliards, de dégats.
mh, je ne peux m'empêcher de voir dans ces dizaines de milliards les coûts d'investissement non régler à temps, que l'on traduit par dette technique.
La notion est importante car elle démontre le problème structurel que cet incident révèle, qui par ailleurs dépasse largement les cadres informatique ou économique. enfin, faudrait passer un peu de temps à l'expliquer... mais tout le monde se fait une petite du pourquoi ils ont relégués cela aux calandres grecques.
Et assurément, je doutes que le problème fût purement technique

Le seul point positif dans toute cette affaire reste la prise de conscience de la nécessité de prendre au sérieux la sécurité du SI
Je ne m'engagerais pas dans cette affirmation tellement osée, rendez vous au prochain incident d'ampleur mondiale

Ahlalala j'ai encore en tête ce mémorable moment de la découverte d'une faille windows avec 20 ans de retard, quel monde surprenant!

'fin bref, , ,
Avatar de emutramp
Membre habitué https://www.developpez.com
Le 22/05/2017 à 11:04
C'est pareil pour une distrib Linux sortie en 2001, qui va trouver des MAJ ?
Une distribution Rolling release n'a pas ce problème. Quand bien même, un parc informatique sous la gestion d'une entreprise en charge de l'administration système (incluant la sécurité) faisant tourner celle-ci sur des systèmes trop vieux n'ayant plus de mise a jour sécurité de la part des éditeurs est responsable (si elle est payé continuellement pour assurer ces services).

Le réel problème est que bon nombre de ces entreprises sont soit faignante, cupide ou incompétente (voir les 3 a la fois). Tant que ça fonctionne correctement, on ne touche a rien et on encaisse la facture donné au client tout en lui vendant du pseudo travail pour qu'il continue a payer. Tôt ou tard avec ce genre d'administration foireuse, les problèmes arriveront : Pas de problème on envoi un commercial laver le cerveau du client lui expliquant que le problème n’était pas prévisible, avec a l'appuie quelques articles des médias traditionnels (dont le moteur est le sensationnalisme, pas la technique) et le tour est joue, la société garde sa réputation et c'est au client (ou assurance) de raquer.

L'informatique n'est pas une science, sa création est son développement est a 100 % fait par l'humain, Intel n'a pas besoin d'un phénomène naturel pour créer ses processeurs ou d'une éclipse planétaire pour créer ses nouvelles générations de proc, c'est un travail organise, des calcules exactes, prévisions, des testes etc...

Actuellement, on ouvre le marché a des opportunistes sans scrupules, qui a pour moteur la cupidité. Mieux encore, en cas d'erreur professionnelle, ils n’ont absolument rien a craindre juridiquement.

Il serait peut-être temps de réguler ce domaine d’activité, soit en tenant responsable juridiquement les professionnels soit en autorisant l’exercice via certification donne par des personnes qualifies pour (par exemple une certification émanant de l’ANSSI).

Et pour finir, établir des standard de sécurité comme l’utilisation exclusif de code opensource (système, software…), sans relancer une discussion expliquant aux*«*professionnelle*» informatique pro code fermé qu’ils ne peuvent pas garantir la sécurité, la stabilité ou quoi que ce soit d’autres sur un fonctionnement inconnu*: L’éditeur peut pondre une documentation de 80 k pages sur le fonctionnement de celui-ci ne donne aucune garanti qu’ils ont oublié involontairement ou volontairement des informations, qu’ils sont honnêtes, que le code est de bonne qualité, que le code est sécurisé… Être dans le déni de cette réalité ne feront jamais des arguments expliqué par les pro code ferme une quelconque véracité.*Pourquoi ce débat est sans fin*? Deux chose*sur les pro propriétaires :

1) Ils n’ont pas compris entièrement le problème de celui-ci et avec le temps, ils pourraient changer d’avis ayant acquis plus d’expérience/connaissance. Ceux dans ce cas ne sont pas a blâmer.

2) Ils ont compris mais par facilite, fainéantise, orgueil… Avances des faux arguments pour défendre l’indéfendable

C’est ok, même normal de dire «*Je ne sais pas*» ou «*Je me suis trompé*», aucune honte a avoir, c’est comme ça qu’on avance.

Établir des basiques obligatoires (exemple, configuration des systèmes Linux/Unix en ligne de commande, interdire les software de gestion de ces systèmes comme CPANEL/WHM, utiliser iptables et interdire les scripts qui genere automatiquement des règles de sécurité iptables pré définie / software comme UFW…) compiler les sources en ne passant que les options nécessaires au fonctionnement voir optimise pour le processeur de la machine, interdire le pkg precompile incluant l’intégralité des fonctions pas forcement voir pas du tout nécessaire pour la gestion/administration du projet / structure / parc IT, séparé au plus possible chaque applications via sandbox, de façon matériel, limiter les accès utilisateur / flux des données / n’avoir que le strict nécessaire en terme de libs / software sur chaque serveurs, mise a jour du système / application sous 48 heures lorsque celle-ci sont disponibles publiquement (48 h si la faisabilité de ceux-ci peuvent être applique, au plus rapide dans le cas contraire).

Les vrais pro en sécurité informatique, c’est ceux qu’on entend que trop rarement voir pas du tout. Le pro qu’on entend souvent est surtout dans les relations publiques et l’enfumage que dans le domaine qu’il prétend être.
Avatar de mh-cbon
Membre averti https://www.developpez.com
Le 22/05/2017 à 11:28
Citation Envoyé par emutramp Voir le message
...
Le réel problème est que bon nombre de ces entreprises sont soit faignante, cupide ou incompétente (voir les 3 a la fois). Tant que ça fonctionne correctement, on ne touche a rien et on encaisse la facture donné au client tout en lui vendant du pseudo travail pour qu'il continue a payer. Tôt ou tard avec ce genre d'administration foireuse, les problèmes arriveront : Pas de problème on envoi un commercial laver le cerveau du client lui expliquant que le problème n’était pas prévisible, avec a l'appuie quelques articles des médias traditionnels (dont le moteur est le sensationnalisme, pas la technique) et le tour est joue, la société garde sa réputation et c'est au client (ou assurance) de raquer.
J'ai cru voir un IoT !



Citation Envoyé par emutramp Voir le message
...
Actuellement, on ouvre le marché a des opportunistes sans scrupules, qui a pour moteur la cupidité. Mieux encore, en cas d'erreur professionnelle, ils n’ont absolument rien a craindre juridiquement.

Il serait peut-être temps de réguler ce domaine d’activité, soit en tenant responsable juridiquement les professionnels soit en autorisant l’exercice via certification donne par des personnes qualifies pour (par exemple une certification émanant de l’ANSSI).
...
Ouais, grande question que tu soulèves là. Mon avis perso, c'est d'abord un problème politique.
C'est par l'instauration d'un autre "mode de production" (=> à affiner) que l'on peut amener les agents de la production à produire mieux.

J'aurais bien envie d'être aussi vindicatif que vous sur les motivations des gens qui vendent des solutions trouées,
je crains malheureusement que votre description ne soit pas représentative de tout les acteurs et notamment les tpe/pme/pmi/indépendants qui font ce qu'ils peuvent pour vivre.

Après faudrait aborder le problème de la sécurité par la classification des bugs.
Il y a plusieurs années de cela les buffer overflow et consœurs étaient légions,
il est difficile de punir un développeur d'avoir laissé passer cela tellement la question
est restée complexe pendant longtemps.
Ce n'est que depuis récemment que les outils de développement adéquats sont apparus
pour prévenir cette classe de bug.
Le développeur à son niveau de producteur de service consommait un outil qui ne pouvait le mener qu'à la création de bugs,
était il à blâmer dans son choix nés des contradictions qu'ils avaient à résoudre ?

Le problème est intéressant en cela qu'il est multi tenant,
mais désespérant en cela qu'à mettre la charrue avant les bœufs on avance à petits pas.
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web