Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

WannaCry : un nouvel outil de déchiffrement a été testé et fonctionne de Windows XP à 7
Le prérequis de ne pas redémarrer l'ordinateur reste valable

Le , par Stéphane le calme

165PARTAGES

8  0 
Adrien Guinet, un chercheur travaillant pour le compte de la start-up française Quarkslab, a publié un outil qu’il a appelé WannaKey pour effectuer la récupération de clé RSA sur les machines Windows XP qui ont été infectées par le ransomware WannaCry. Précisons que son outil ne cherche pas la clé réelle, mais les nombres premiers en mémoire pour recalculer la clé elle-même.

Le logiciel « y parvient en les recherchant dans le processus wcry.exe. C'est le processus qui génère la clé privée RSA. Le problème principal est que CryptDestroyKey et CryptReleaseContext n'effacent pas les nombres premiers de la mémoire avant de libérer la mémoire associée ».

Le chercheur précise qu’il ne s’agit pas en réalité d’une erreur de la part des auteurs du ransomware étant donné qu’ils ont utilisé correctement l’API Windows Crypto : « En effet, pour avoir fait des tests, sous Windows 10, CryptReleaseContext nettoie la mémoire (et donc cette technique de récupération n’y fonctionnera pas). Elle peut fonctionner sous Windows XP, car, dans cette version, CryptReleaseContext ne fait pas le nettoyage. En outre, MSDN indique ceci, pour cette fonction: "Après l’appel de cette fonction, la CSP libérée n'est plus valide. Cette fonction ne détruit pas les conteneurs de clés ou les paires de clés". Donc, il semble qu'il n'y ait aucun moyen propre et multiplateforme sous Windows pour effacer cette mémoire ».

Dans un échange sur Twitter avec Matt Suiche, un chercheur en sécurité, MVP Microsoft et accessoirement fondateur de Comae Technologies, Guinet a confirmé que, dans le cas que Suiche lui a présenté, il a été en mesure de récupérer la clé privée sur un système Windows XP.

Matt Suiche a confirmé que le développeur Benjamin Delpy, Directeur de Projets Sécurité chez Banque de France, a commencé à travailler sur sa propre solution à toutes fins utiles qui s’appuie sur OpenSSL et la méthodologie d’Adrien pour récupérer la clé de la mémoire. Il s’est également servi de leurs recherches en commun (celles de Suiche et lui) pour résoudre les problèmes de format de fichier et créer une version 100 % compatible avec le système d'exploitation Windows de Windows XP à Windows 7.

« En fait, WanaKiwi de Benjamin Delpy fonctionne sur Windows XP (x86 confirmé) et Windows 7 (x86 confirmé). Cela impliquerait qu'il fonctionne pour chaque version de Windows de XP à 7, y compris Windows 2003 (x86 confirmé), Vista et 2008 et 2008 R2 », a indiqué le chercheur.

« WanaKiwi recrée également les fichiers .dky attendus du ransomware par les attaquants, ce qui le rend compatible avec le ransomware lui-même. Cela empêche également WannaCry de chiffrer d'autres fichiers », a assuré Suiche.

Comme pour la méthodologie de Guinet, cette méthode repose sur la recherche de nombres premiers en mémoire si la mémoire n'a pas été réutilisée : cela signifie qu'après une certaine période de temps, la mémoire peut être réutilisée et ces nombres premiers peuvent être effacés. De plus, cela signifie aussi que la machine infectée ne devrait pas être redémarrée.

Les entreprises, les gouvernements et les particuliers dans 99 pays à travers le monde ont été victimes de plus de 75 000 attaques de cette souche de ransomware en quelques heures seulement. Parmi les victimes, des services d'hôpitaux en Angleterre, des entreprises telles que Telefónica en Espagne, ou même des écoles et universités.

Le ransomware Wannacrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor) exige 300 $ en bitcoins pour le déverrouillage des fichiers qu’il a chiffrés, une rançon qui double après trois jours. Les utilisateurs sont également menacés de voir tous leurs fichiers supprimés en permanence si la rançon n'est pas payée dans l’intervalle d’une semaine.

Source : blog Matt Suiche

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de arond
Membre expérimenté https://www.developpez.com
Le 20/12/2017 à 8:44
@koyosama

Mais non !!! il faut alterner entre la Russie la Chine et la corée du nord. Et de temps en temps les terroristes pour se souvenir que sa existe comme sa tu tapes pas toujours sur les mêmes. Effet Garantie !
5  0 
Avatar de 4sStylZ
Membre éclairé https://www.developpez.com
Le 10/09/2018 à 13:15
C’est les états unis qui l’accusent. Pas la corée du nord.
6  1 
Avatar de Itachiaurion
Membre averti https://www.developpez.com
Le 10/09/2018 à 13:33
Citation Envoyé par alexetgus Voir le message
Tu as vu qui est président des USA ?
Que je sache Donald Trump n'est pas expert en informatique ni en sécurité. Un président n'est pas représentatif de son état et il est fort probable qu'il ignorais l'existence même de cette personne avant que cela soit révéler officiellement ou non. C'est un peu comme dire la même chose mais 5 ans en arrière quand c'était Barack Obama qui étais bien plus cool en comparaison, les USA ne sont pas uniquement défini par leur président.
4  0 
Avatar de alexetgus
Membre habitué https://www.developpez.com
Le 19/12/2017 à 20:56
"Haut niveau de certitude", "suspectés", "confiance raisonnable", "nous ne sommes pas les seuls à le penser", ...

En voilà un dossier solide, que des doutes !
Les USA devraient se calmer avec leurs accusations à la légère. A moins que ça ne serve leurs intérêts comme en Irak.
Comme par hasard, c'est la Corée du Nord qui est désignée. Ca tombe au bon moment ! A quand les frappes sur ce pays ?
3  0 
Avatar de koyosama
Membre éprouvé https://www.developpez.com
Le 20/12/2017 à 0:45
Ah je me rappelle quand Sony a lancé la mode. Je ferais la même chose, c'est la faute à la Corée du Nord dès que je fais une bourde.
3  0 
Avatar de Pill_S
Membre expert https://www.developpez.com
Le 20/12/2017 à 13:02
Y'a 6 mois tout le monde se fendait pas la gueule en se disant qu'un tel pays d'arriérés ne pourrait jamais rien pirater?

Ha oui pardon, maintenant qu'on soupçonne la CdN d'être capable de faire péter une bombe H et en plus de l'embarquer sur un missile, on revoit notre copie c'est ça?

A ce rythme-là dans 6 mois on dira qu'ils sont à la pointe dans tous les domaines high-tech?

Arrêtez de faire des plans sur la comète, la vérité c'est que personne n'en sait rien, et ça ça sent surtout l'argument foireux pour justifier (ou aider à justifier) une future attaque... mais pas informatique cette fois
3  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 21/05/2017 à 13:09
Citation Envoyé par mh-cbon Voir le message
Le port SMB ouvert sur le lan OK, mais sur le wan ? wtf
je crois qu'il était question d'un stage1 par mail en fait, ce qui explique finalement que le malware ne se propage pas si bien que ça sur internet, mais que dans les entreprises où il se propage il défonce tout l'intranet très rapidement
2  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 23/05/2017 à 13:44
Ouaip.

Et ce que les politiques ne saisissent pas, l introduction de backdoors dans le chiffrement = WannaCry exposant botnet mirai; i.e, internet tombe et tous les PC sont bloques.

Un armageddon anarchiste sur le Net.

On les laisse tout reconstruire ?
2  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 23/05/2017 à 13:49
Citation Envoyé par marsupial Voir le message
Ouaip.

Et ce que les politiques ne saisissent pas, l introduction de backdoors dans le chiffrement = WannaCry exposant botnet mirai; i.e, internet tombe et tous les PC sont bloques.

Un armageddon anarchiste sur le Net.

On les laisse tout reconstruire ?
C'est même mieux que sa, moi j'attends un virus de ce genre sur tous les appareils connectées.
J'ai hâte que nos frigo et lave linge connectées choppe un virus et crée une belle attaque DDOS sur les big brother.

Mr Michu tellement ignorant ne fera jamais aucune manip pour arrêter le massacre, bref tous vas s’effondrer avec de belles erreurs 500 serveur surchargées

En voulant nous connectées à outrances, ils aurons construits leurs propre tombe.
2  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 23/05/2017 à 20:37
Citation Envoyé par chrtophe Voir le message
Connecter un frigo ou un lave-linge à Internet, non mais allo quoi ...
ou pire encore, imagine un téléphone connecté à internet, et qu'en plus on se baladerait avec en permanence, "LOL", aucune chance que ça arrive un jour heureusement...
2  0