• Flux RSS Flux RSS

WannaCry est toujours en activité sur les machines infectées

WannaCry est toujours en activité sur les machines infectées

Rappelez-vous : en 2017, le ransomware WannaCry infectait un nombre conséquent d’ordinateurs dans le monde entier et créait une panique sans précédent. Le logiciel avait ciblé de nombreux pays dont l’Inde, la Russie ou encore les États-Unis ainsi que de grandes entreprises comme Renault ou Vodafone. Le ransomware utilisait une faille présente sur les anciennes versions de Windows, faille qui avait été corrigée quelques semaines plus tôt. Problème : tout le monde n’avait pas installé le correctif diffusé par Windows Update. 18 mois plus tard, qu’en est-il de WannaCry ?

WannaCry est en standby

C’est le chercheur en sécurité Marcus Hutchins de chez Kryptos Logic qui a mené l’enquête lors de la première vague d’attaque. Il a détecté que le ransomware se connectait à intervalle régulier à un nom de domaine qui, s’il était actif, empêchait le rançongiciel de s’activer. La solution était donc simple : le chercheur a ainsi acheté le nom de domaine en question pour qu’il reste activé en permanence pour ainsi éviter la propagation du malware. Le site web est en fait un « kill switch », c’est-à-dire une sorte d’interrupteur qui permet de stopper la diffusion si besoin tant qu’il est en ligne.

WannaCry

Comme le chercheur est aussi le propriétaire du nom de domaine, il a pu suivre les chiffres sur le nombre de connexions entrantes. Jamie Hankins, responsable de la sécurité chez Kryptos Logic, a expliqué que le nom de domaine reçoit plus de 17 millions de connexions en une semaine provenant de 630 000 adresses IP de 194 pays différents, soit autant de victimes potentielles où le ransomware est endormi. Toutefois, celui-ci se connecte régulièrement pour vérifier l’état du site web.

Tant que le site web est accessible, WannaCry est donc stoppé mais il suffirait d’une grosse panne internet pour que le ransomware ne puisse plus accéder au nom de domaine, et qu’il s’active donc de lui-même. C’est pourquoi Kryptos Logic propose aux entreprises, principales victimes, d’utiliser le service TellTale qui permet de surveiller la liste des adresses IP infectées.

Dans tous les cas, le ransomware WannaCry est toujours endormi dans la nature et pourrait bien refaire parler de lui dans un avenir plus ou moins proche.

Source

Articles sur le même sujet

Pas de commentaires
Soyez le premier à déposer un commentaire

Laisser un commentaire pour l'article WannaCry est toujours en activité sur les machines infectées

Merci de rester correct et de respecter les différents intervenants.

Sélection logiciels
  • NSA Ghidra NSA Ghidra 126 téléchargements

    Ghidra est un outil de rétro-ingénierie logicielle qui permet d'analyser des logiciels malveillants pour mieux comprendre leur fonctionnement
    Voir le logiciel

  • Comodo Internet Security Essentials Comodo Internet Security Essentials 32 téléchargements

    Contrairement à ce que son nom peut faire penser, Comodo Internet Security Essentials n’est pas un antivirus. Il s’agit d’un programme qui se...
    Voir le logiciel

  • Malwarebytes Chameleon Malwarebytes Chameleon 126 téléchargements

    Malwarebytes est un outil gratuit qui permet de forcer l'installation de Malwarebytes Anti-malware, lorsqu'un système infecté bloque l'usage et...
    Voir le logiciel