Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Ransomware WannaCry : Quelles erreurs ont commises ses auteurs ?
Et comment en tirer profit, d'après Kaspersky Lab

Le , par Patrick Ruiz

144PARTAGES

8  0 
Les chercheurs en sécurité sont désormais formels au sujet du degré de sophistication du ransomware WannaCry. Si ce dernier a bénéficié d’une forte couverture médiatique, c’est bien à cause de sa propagation à grande échelle causée par la négligence des acteurs du secteur de l’IT. WannaCry n’en est pas pour autant, aux dires des experts en sécurité, le plus sophistiqué des ransomwares de l’histoire. Les chercheurs de la firme de sécurité Kaspersky Lab ont passé son code au décryptage et dévoilé des failles qui permettent à des personnes possédant des ordinateurs infectés de récupérer leurs données.

Les chercheurs de la firme Kaspersky Lab rapportent qu’au moment de chiffrer les fichiers de la victime, le fichier original est lu, son contenu est chiffré et sauvegardé dans un autre avec l’extension .WNCRYPT. Le fichier avec l’extension .WNCRYPT est ensuite renommé avec l’extension .WNCRY et l’original est détruit ou simplement masqué. Ils rapportent que ce processus dépend de l’emplacement du fichier concerné au sein de l’ordinateur et de ses attributs.

Dans le cas des fichiers en lecture seule, les chercheurs rapportent que le ransomware crée une copie chiffrée des fichiers originaux qui, eux-mêmes, sont simplement masqués. On peut voir sur l’image ci-dessous que chaque fichier avec l’extension .WNCRY a un correspondant qui est le fichier original masqué. Ceci a comme implication que les fichiers sont aisément récupérables en procédant à une restauration de leurs attributs normaux.



Pour ce qui est des fichiers qui ont leur attribut lecture seule non activé, la situation est un peu plus complexe et dépend de l’emplacement du fichier au sein de l’ordinateur affecté. Les chercheurs rapportent que le code du ransomware fait le distinguo entre les fichiers situés sur la partition système et ceux situés en dehors. Pour ce qui est de la partition système, le code du ransomware discrimine les répertoires « importants » - répertoire Windows, documents, bureau, etc. - et ceux qui ne le sont pas, par exemple un fichier qui serait situé sur la racine de la partition système.

D’après ce qui ressort de leur analyse de la section de code du ransomware censée gérer les fichiers situés sur la partition système (cf. image 1 ci-dessous), ceux situés dans les répertoires importants sont écrasés avec des données aléatoires et ne peuvent donc être récupérés. Ceux situés dans les répertoires non marqués comme étant importants sont placés dans des fichiers dont le chemin d’accès est %TEMP%\%d.WNCRYT où %d représente une valeur numérique (cf. image 2 ci-dessous). Il s’agit en réalité des fichiers chiffrés qui, aux dires des chercheurs, correspondent aux originaux qui sont supprimés par le ransomware. Les chercheurs indiquent que l’usage d’un outil de récupération des données peut permettre de récupérer les fichiers originaux qui, même s’ils sont supprimés, laissent en principe des traces.



Il y a enfin le cas des données situées sur les partitions non système. Leur analyse de la section de code censée gérer des fichiers situés sur de telles partitions (cf. image 3 ci-dessous) révèle que le ransomware crée un répertoire masqué $RECYCLE invisible via l’explorateur de fichiers. Ce répertoire est censé accueillir les fichiers chiffrés. Les chercheurs font état de ce qu’à cause de certaines erreurs de synchronisation dans le code, la plupart des fichiers originaux demeurent à leur emplacement d’origine et ne sont pas déplacés vers le répertoire $RECYCLE. Dans ce cas également, la suppression des fichiers par le ransomware laisse des traces qui permettent une récupération à l’aide d’un outil dédié (cf. image 4 ci-dessous).



Il faudrait rappeler que cette publication des chercheurs de la firme Kaspersky Lab intervient dans un contexte où un certain nombre d’outils de déchiffrement ont déjà été mis à disposition du public. Un inconvénient majeur demeure cependant avec ces outils : la machine infectée ne doit pas avoir été redémarrée. La publication de la firme Kaspersky semble apporter un plus à ces développements ultérieurs en ce sens qu’elle donne une idée de l’emplacement des fichiers chiffrés et par conséquent des originaux. Ceci suppose que l’usage correct d’un outil de récupération des données sur un disque installé sur une machine d’emprunt peut permettre de récupérer des données.

Source : SECURELIST

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

L'exploit EternalBlue, utilisé pour armer WannaCry, pourrait également être porté sur Windows 10, d'après des chercheurs de RiskSense
Faites attention aux faux correctifs de WannaCry diffusés en ligne, les chercheurs en sécurité recommandent la prudence et le bon sens

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de arond
Membre expérimenté https://www.developpez.com
Le 20/12/2017 à 8:44
@koyosama

Mais non !!! il faut alterner entre la Russie la Chine et la corée du nord. Et de temps en temps les terroristes pour se souvenir que sa existe comme sa tu tapes pas toujours sur les mêmes. Effet Garantie !
5  0 
Avatar de 4sStylZ
Membre éclairé https://www.developpez.com
Le 10/09/2018 à 13:15
C’est les états unis qui l’accusent. Pas la corée du nord.
6  1 
Avatar de Itachiaurion
Membre averti https://www.developpez.com
Le 10/09/2018 à 13:33
Citation Envoyé par alexetgus Voir le message
Tu as vu qui est président des USA ?
Que je sache Donald Trump n'est pas expert en informatique ni en sécurité. Un président n'est pas représentatif de son état et il est fort probable qu'il ignorais l'existence même de cette personne avant que cela soit révéler officiellement ou non. C'est un peu comme dire la même chose mais 5 ans en arrière quand c'était Barack Obama qui étais bien plus cool en comparaison, les USA ne sont pas uniquement défini par leur président.
4  0 
Avatar de alexetgus
Membre habitué https://www.developpez.com
Le 19/12/2017 à 20:56
"Haut niveau de certitude", "suspectés", "confiance raisonnable", "nous ne sommes pas les seuls à le penser", ...

En voilà un dossier solide, que des doutes !
Les USA devraient se calmer avec leurs accusations à la légère. A moins que ça ne serve leurs intérêts comme en Irak.
Comme par hasard, c'est la Corée du Nord qui est désignée. Ca tombe au bon moment ! A quand les frappes sur ce pays ?
3  0 
Avatar de koyosama
Membre éprouvé https://www.developpez.com
Le 20/12/2017 à 0:45
Ah je me rappelle quand Sony a lancé la mode. Je ferais la même chose, c'est la faute à la Corée du Nord dès que je fais une bourde.
3  0 
Avatar de Pill_S
Membre expert https://www.developpez.com
Le 20/12/2017 à 13:02
Y'a 6 mois tout le monde se fendait pas la gueule en se disant qu'un tel pays d'arriérés ne pourrait jamais rien pirater?

Ha oui pardon, maintenant qu'on soupçonne la CdN d'être capable de faire péter une bombe H et en plus de l'embarquer sur un missile, on revoit notre copie c'est ça?

A ce rythme-là dans 6 mois on dira qu'ils sont à la pointe dans tous les domaines high-tech?

Arrêtez de faire des plans sur la comète, la vérité c'est que personne n'en sait rien, et ça ça sent surtout l'argument foireux pour justifier (ou aider à justifier) une future attaque... mais pas informatique cette fois
3  0 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 23/12/2017 à 18:33
Citation Envoyé par Aeson Voir le message
Ou est-ce que j'ai parle de CdN et de la Russie ? T'avais envie de parler pour rien dire apparement....
Ça n'est pas une envie, c'est juste que c'est précisément le sujet du fil : "WannaCry : les États-Unis incriminent officiellement la Corée du Nord". Et toi tu réponds à ce fil par : "Il y en a vraiment encore qui pensent que les USA de Trump sont credible?". Ma réponse à TA question va donc directement dans le sens du fil concernant les USA et la Corée du Nord. Contrairement à toi, sur cette affaire, j'ai beaucoup plus de raison de croire les USA que les Coréens ... d'où mon intervention précédente.
2  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 16/06/2017 à 3:08
pourquoi relayer les annonces de la nsa comme celle ci ??? on ne les crois plus !
1  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 16/06/2017 à 7:14
le 17 mai dernier déjà, Symantec, Kaspersky Labs, des chercheurs indépendants comme Mathieu Suiche etc. annonçaient que le code des premières versions de WCry avait des allures de déjà vu du Lazarus Group, lequel est identifié depuis pas mal de temps comme ayant des liens avec la Corée du Nord

quand la NSA annonce ça 3 semaines après, non seulement ce n'est pas vraiment un scoop, mais ce ne sont finalement que les conclusions de l'enquête qu'ils menaient jusqu'alors

quant à plus y croire, battre le pavillon de la révolte ou s'offusquer de ci ou ça franchement...
faudrait que la NSA fasse une annonce: "ne vous jetez pas du haut d'une falaise, la chute pourrait être mortelle", du coup les moutons y croiraient bêtement, tandis que les plus malins eux, qui savent que la NSA ment, iraient se jeter du haut de la falaise
1  0 
Avatar de Afaure
Futur Membre du Club https://www.developpez.com
Le 04/08/2017 à 10:59
ça part en *** vraiment là , je pige pas pourquoi ils ont arrêté le hacker qui à trouvé , en plus ils soupçonnent la Corée maintenant , on va terminer avec les illuminatis et tout ou quoi ?!

Les responsables , ce sont les shadows brokers , ce sont eux qui ont dérobés ces failles à la NSA , et des petits malins en ont profité .
Il ne faut pas aller bien loin , regardez : http://www.lemonde.fr/pixels/article...8_4408996.html

Je vous laisse méditer , Bonne journée .
1  0