WannaCry : deux centaines de clés maîtres de déchiffrement sont mises à la disposition du public, pour le plus grand bonheur des éditeurs de solutions antivirus
Des spécialistes de la sécurité travaillant pour le compte d’entreprises françaises ont publié une paire d'outils de déchiffrement pour le ransomware WanaCry. Cependant, ces outils nécessitent entre autres que la machine infectée n’ait pas été redémarrée.
Les spécialistes ont confirmé que le décrypteur Wannakey fonctionne sur Windows XP, 7, 2003, Vista et Windows Server 2008, tandis que l'autre outil, appelé Wanakiwi, fonctionne sur ces mêmes plateformes, mais également plus 2008 R2.
C’est l’ingénieur Adrien Guinet de Quarkslab qui a développé Wannakey, suite à quoi l’ingénieur Benjamin Delpy a développé Wanakiwi en s’appuyant sur la méthodologie de Guinet et en espérant un plus large champ d’application. Il a travaillé en collaboration avec le fondateur de Comae Technologies, Matthieu Suiche, qui a vérifié l'efficacité de Wannakey et Wanakiwi. Les deux outils ont été mis en téléchargement sur GitHub.
Comme l’ont expliqué Guinet et Suiche, Wannakey et Wanakiwi ne recherchent pas réellement la clé de déchiffrement en elle-même : les deux outils sondent plutôt la mémoire des machines infectées à la recherche des nombres premiers qui ont été laissées après le processus de création de clé privée
« Il semble qu'il n'y ait pas de façons propres et multiplateformes sous Windows pour nettoyer cette mémoire », a déclaré Guinet, en se référant spécifiquement aux versions de Windows compatibles avec son outil. « Si vous êtes chanceux (c'est-à-dire que la mémoire associée n'a pas été réaffectée et effacée), ces nombres premiers pourraient encore être en mémoire. C'est ce que ce logiciel essaie d'atteindre ».
.
Malheureusement, toute tentative de redémarrage de la machine rend ces outils de déchiffrement inutiles, car ils dépendent de la mémoire actuelle en cours de fonctionnement. De même, une trop grande activité post-infection sur l'ordinateur infecté écrasera la mémoire et aura le même effet.
Notons également qu’au total, les spécialistes ont détecté 386 échantillons de logiciels malveillants utilisant WannaCry.
Tout ceci était sans compter sur un développement positif de cette affaire : dans un forum spécialisé, un individu répondant au pseudonyme lightsentinelone a publié 200 clés maîtres de déchiffrement.
Ce n'est pas la première fois que des clés maîtres pour WannaCry sont diffusées, il s’agit même de la troisième vague. Cependant, ce qui distingue cette vague des autres, c'est le fait que les clés puissent également être utilisées pour déchiffrer les fichiers chiffrés avec des extensions .wallet et .onion.
Comme l’expliquent les ingénieurs d’ESET qui s’en sont servi pour développer un outil de déchiffrement, « Cela est devenu une habitude des opérateurs de Crysis ces derniers temps - ceci est la troisième fois que des clés sont diffusées de cette manière -. Depuis que le dernier ensemble de clés de déchiffrement a été publié, des attaques par le ransomware Crysis ont été détectées par nos systèmes plus de dix mille fois ».
Malgré cette bonne nouvelle, ESET rappelle que les ransomwares restent l'une des menaces informatiques les plus dangereuses actuellement et que la prévention est essentielle pour garder les utilisateurs en sécurité.
« Par conséquent, nous recommandons que tous les utilisateurs gardent leurs systèmes d'exploitation et leurs logiciels mis à jour, utilisent des solutions de sécurité fiables avec plusieurs couches de protection et sauvegardent régulièrement toutes les données importantes et précieuses à un emplacement hors connexion (comme le stockage externe) ».
.
Source : ESET
Voir aussi :
Microsoft dévoile une version de Windows 10 pour le gouvernement chinois, pour lui permettre de contrôler la télémétrie et le chiffrement dans ses SI WindsorGreen : les plans de la NSA pour casser les chiffrements auraient été découverts en libre accès sur Internet, par un chercheur en sécurité Affaire San Bernardino : le déchiffrement de l'iPhone aurait coûté moins cher qu'annoncé par le FBI, révèle le sénateur Feinstein
Vous avez lu gratuitement 7 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par alexetgus
