Les outils pour se protéger de WannaCryptor

Publié le 15 mai 2017

Ce week-end un ransomware a infecté des milliers de machine dans le monde entier. Des entreprises, mais aussi des hôpitaux ainsi que des particuliers ont été impactés par le désormais célèbre rançongiciel WannaCry. L’infection a été dans un premier temps jugulée mais de nombreuses versions du ransomware circulent déjà sur la toile.

 

MISE A JOUR : Les premiers outils pour récupérer des fichiers cryptés par WannaCry 

Wannakey

Le chercheur Adrien Guinet a mis au point un outil de déchiffrement qui permettrait de récuperer des données cryptées par Wannacryptor. L’outil baptisé Wannakey ne fonctionnerait que sur les machines XP. Il n’a pas encore été testé mais les conditions pour qu’il parvienne à récupérer vos fichiers sont très contraignantes comme le fait que l’ordinateur infecté ne doit pas avoir été redémarré.

 

 

Wanakiwi

Un autre spécialiste français, Benjamin Delpy a également mis au point un outil de déchiffrement fonctionnant sur XP , Vista, Windows 2003, 2008 et 2008 R2 et enfin Windows 7. Cet utilitaire qu’il a nommé Wanakiwi. Une fois lancée, l’application va automatiquement chercher la clé de déchiffrement de WannaCryptor. Attention, là encore pour avoir une chance de récupérer les fichiers crypté, il ne faut pas avoir redémarré la machine infectée.

 

Que faire si votre machine a été infectée ?

Si vous avez découvert un code malveillant dans votre système à la maison ou au bureau, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) recommande de :

• Déconnecter sur le champ la machine pour éviter la propagation du ransomware sur le réseau.
• S’il s’agit d’un ordinateur professionnel, alertez le responsable sécurité
• Effectuer des sauvegardes des fichiers importants sur des supports externes isolés tels qu’une Clé USB, un disque dur externe ou une carte mémoire. Attention, il est recommandé de ne pas réaliser de sauvegarde cumulative au risque d’écraser les anciennes sauvegardes.
• NE SURTOUT PAS PAYER LA RANÇON. Pourquoi ? Parce que le paiement de cette rançon ne garantit en aucun cas le déchiffrement des données et peut également cacher une tentative d’hameçonnage.

Comment supprimer WannaCryptor ?

Si pour l’instant il n’existe pas d’outil de déchiffrement pour récupérer des fichiers endommagés par WannaCryptor, il est bel et bien possible de supprimer le ransomware de sa machine. Selon le site spécialisé Bleeping Computer, il vous faut trois outils : Rkill, Emsisoft Anti-malware et enfin Malwarebytes Anti-Malware (MBAM).

1. Dans un premier temps utilisez le logiciel Rkill pour bloquer tous les processus utilisés par le ransomware. A la fin de l’analyse, NE REDEMARREZ PAS LA MACHINE.

2. Lancez une analyse à l’aide du programme  Emsisoft Anti-malware (la version d’essai gratuite suffira) et mettez les objets en quarantaine.

3. Fermez le programme d’Emsisoft pour lancer MBAM et vérifiez que sa protection anti-ransomware est activée dans les paramètres. Lancez une analyse et supprimez les objets détectés. 

Il vous sera sans doute nécessaire de redémarrer votre machine pour finir le nettoyage.

Effectuer les mises à jour système

Les utilisateurs sont souvent réticents à l’idée d’effectuer des mises à jour de peur qu’elles créent une instabilité ou des problèmes de compatibilité avec des logiciels installés. Néanmoins elles  sont le plus souvent vitales pour la sécurité de vos fichiers et l’intégrité de votre système. Il est donc recommandé d’activer les mises à jour automatiques Windows.

Les versions les plus anciennes de Windows ont été les plus touchées. Windows XP dont le support a cessé depuis trois ans est encore utilisé par de nombreuses entreprises. Microsoft propose depuis mars dernier un patch correctif pour les systèmes d’exploitation les plus anciens (XP, Server, Windows 7, Windows 8…). Sur son blog, le géant américain propose tout de même des liens directs vers les patches correctifs de :

• Windows Server 2003 SP2 x64
• Windows Server 2003 SP2 x86
• Windows XP SP2 x64
• Windows XP SP3 x86
• Windows XP Embedded SP3 x86
• Windows 8 x86
• Windows 8 x64

Bloquer le fonctionnement des ransomwares

Pour vous protéger d’une telle mésaventure, il n’y a rien de mieux que de bons outils. Si les éditeurs d’antivirus proposent déjà des solutions de protections plus ou moins efficaces contre les ransomwares, vous pouvez également utiliser des logiciels que voici : 

Malwarebytes Anti-Ransomware

Le célèbre éditeur Malwarebytes propose en plus de son logiciel de sécurité Anti-Malware, un utilitaire pour détecter les rançongiciels. Attention, l’outil est toujours à l’état de bêta. Mais vous pouvez supprim

 

RansomFree

RansomFree est un logiciel qui n’a besoin d’aucune configuration. Il se charge automatiquement de surveiller votre machine et de vous alerter grâce à son système d’analyse comportementale capable de détecter les objets malveillants.

Gardez en tête qu’aucune solution n’est infaillible. Pour le moment aucun outil de déchiffrement de fichiers fiable n’a été mis au point. Il faudra donc patienter. Mais vu l’ampleur du phénomène (plus de 70 pays touchés), les spécialistes ne tarderont pas à concevoir un déchiffreur qui permettra aux victimes de récuperer leurs données. Une chose est sûre, cette attaque a marqué les esprits et montré les écueils de gestion et de communication dans les  systèmes d’informations des entreprises qui seront très sûrement amenés à être améliorés dans les jours à venir.

 Source

A lire aussi :

Comment échapper à l’épidémie de ransomware ?