Peu de temps après l’arrivée du ransomware WannaCrypt, des chercheurs français ont pu exploiter une faiblesse pour créer une application rendant l’accès aux fichiers, du moins dans une partie des cas. Après une analyse complète, trois chercheurs de Kaspersky renchérissent : le code du malware est de mauvaise qualité.
WannaCrypt est pour rappel le ransomware conçu à partir de données révélées par les pirates du groupe Shadow Brokers. En utilisant la faille SMB (Windows) nommée EternalBlue et le malware DoublePulsar, tous deux des outils de la NSA, les concepteurs de WannaCrypt ont pu contaminer plus de 300 000 machines en quelques jours, dont un grand nombre en Russie.
Pour autant, la menace aurait pu être nettement plus sérieuse si le code avait été de meilleure qualité. C’est ce qui ressort des éléments trouvés par des chercheurs en sécurité depuis plusieurs semaines.
Des détails bien peu peaufinés
Selon Anton Ivanov, Fedor Sinitsyn et Orkhan Mamedov de Kaspersky, les développeurs n’ont guère travaillé leur copie, tant les erreurs sont nombreuses.
Comme tout ransomware, WannaCrypt commence par chiffrer les fichiers de l’utilisateur. Dans le cas présent, l’opération aboutit à des fichiers .WNCRY, le malware supprimant ensuite les originaux. C’est du moins la logique de base. Dans la pratique, il existe pourtant des failles.
WannaCrypt semble notamment peiner avec les fichiers en lecture seule. Puisqu’ils ne peuvent pas être modifiés ou effacés, le malware en crée des copies, qu’il chiffre ensuite. Il applique ensuite le statut « masqué » aux originaux, qui sont donc censés être invisibles pour l’utilisateur. Traduction, ils sont toujours sur l’ordinateur et il suffit d’afficher dans l’Explorateur les données cachées pour les retrouver.
Pour les autres fichiers, le grand bazar
S’il s’agit de fichiers classiques, donc sans attribut « lecture seule » (composant la majorité des données), la situation fluctue grandement selon qu’ils sont sur la partition système ou une autre.
Sur la première, les données comprises dans des documents « importants » (Bureau, Documents…) sont intégralement remplacés et il n’existe pas de manière simple de les retrouver, sauf à passer par un utilitaire dédié et dont la réussite dépend de plusieurs conditions.
Pour les autres, les fichiers sont déplacés dans un dossier « %TEMP%\%d.WNCRYT » où %d désigne une valeur numérique changeante. Ils sont ensuite supprimés, mais de manière classique. Traduction, il reste possible de les retrouver avec un outil dédié. Le dossier lui-même est masqué, il faudra donc changer une option dans l’explorateur pour le voir.
Pour les partitions supplémentaires, WannaCrypt crée un répertoire « $RECYCLE » dans lequel il est censé déplacer les fichiers originaux. Censé, car il ne le fait pas toujours. Du coup, certains y ont été stockés puis supprimés, d’autres sont restés sur place mais supprimés également. Dans les deux cas, ces données sont également récupérables en théorie via un outil spécialisé.
Aucune conclusion à en tirer pour la suite
L’analyse de Kapersky s’aligne finalement avec ce qui avait été trouvé par plusieurs chercheurs français, qui ont exploité les faiblesses inhérentes à WannaCrypt pour concevoir des outils récupérant la clé et pouvant donc déchiffrer les données. À condition que la machine n’ait pas été redémarrée et que trop de temps ne se soit écoulé. Comme nous l’avait indiqué Matthieu Suiche, le facteur « chance » joue quand même dans l’équation.
Mais si WannaCrypt a été créé sur la base des publications des Shadow Brokers, peut-on avoir une idée des prochains malwares qui ne manqueront pas d’apparaitre maintenant que les fameux pirates ont proposé leur abonnement ? Non, car plusieurs facteurs joueront. Le principal est qu’on ne sait pas qui prendra en main l’exploitation des prochaines failles. La qualité du code dépend largement des compétences des auteurs.
Autre facteur crucial, le temps qu’ils y accorderont. Ceux qui veulent être les premiers (une compétition risque d’éclater entre les « abonnés ») pourraient manquer de temps pour fignoler les détails. À vrai dire, une telle course contre la montre pourrait jouer en faveur des futures éventuelles victimes en provoquant le même type d’erreur que pour WannaCrypt. Par ailleurs, les éditeurs concernés et les entreprises de sécurité seront tout autant sur le pied de guerre.
Dans tous les cas, les conseils resteront toujours les mêmes : faire en sorte que le système et les logiciels principaux (particulièrement les navigateurs) soient à jour, faire attention aux pièces jointes que l’on ouvre dans les emails, ne pas réutiliser ses mots de passe sur différents comptes et en créer de suffisamment forts. Par ailleurs, en cas de contamination par un ransomware, la recommandation en France est de ne pas payer la rançon. Dans le cas de WannaCrypt, une erreur empêchait d’ailleurs toute restauration des données. Une de plus.
Commentaires (18)
trois chercheurs de Kaspersky renchérissent : le code du malware est de mauvaise qualité.
En attendant, ce “malware de mauvaise qualité” a foutu un bordel monumental sur toute la planète en a peine 3 jours… Et c’est pas grace à Kaspersky qu’on s’en est débarrassé.
Les déclarations de Kaspersky ca m’a surtout l’air d’être de la communication pour pour montrer qu’ils sont les meilleurs experts en sécurité du monde.
Uhm, ça semble surtout recoupé ce qu’avaient dit les premières analyses : que le virus se serait “échappé” avant d’être terminé, avec du code repris sans être remanié, des killswitchs peu cachés, etc.
Oui et non, ils arrivent un peu tard sur le sujet, mais ce qu’ils en disent reste intéressant, tout en recoupant d’autres signes précédents. C’était l’occasion de faire le point et d’aborder certaines problématiques liées à l’abo des SB.
J’avoue qu’ils sont très forts pour compiler les infos existantes et les présenter de manière compréhensible.
" />
" />
Le fait qu’ils aient découvert que certains fichiers soient récupérables c’est effectivement une bonne nouvelle… mais c’est un peu tardif, sauf pour ceux qui ont éteint le PC depuis 15 jours en attendant le “fix” magique.
Quand à l’abo des SB, la question est de savoir si les firmes de sécurité vont payer pour avoir accès aux infos et anticiper les attaques, ou ne pas payer et jouer les pompiers.
éthique et déontologie sont des mots à la mode.
Ah ben ça, j’ai fait un article entier sur l’éthique, c’est vraiment LA grosse question depuis l’annonce : que faire ?
LA grosse question depuis l’annonce : que faire ?
Revoir sa stratégie de backup / crash-recovery ?
Ce malware mal branlé a foutu le boxon avant tout à cause d’un ensemble de mauvaises pratiques, peaufiné sur certains points (phase de déploiement silencieuse/amélioration de l’escalade de droits et de la gestion des fichiers/génération d’un killswitch aléatoire voir pas de killswitch/etc …) il aurait pu faire beaucoup plus mal.
Kapersky n’a pas trouvé le moyen de s’en débarrasser et alors ? Ça n’en rend pas leur analyse moins intéressante ; leur analyse pouvant être d’autant plus complète et poussée que la personne qui a effectivement endigué la crise sur ce coup (sans retirer le crédit à l’individu en question, il n’a pas forcément l’ensemble des compétences qu’une entreprise spécialisée dans la sécurité peut avoir pour faire une analyse à froid plus poussée).
Certains me gueulerons dessus mais je maintiens et assume : je ne comprends même pas pourquoi cette information est divulguée au lieu de rester secrète. Le code a été “salopé” et autres trucs techniques. Oui et alors ? Alors, tout simplement, la prochaine fois, car il y aura forcement une prochaine fois (mais pas forcement des mêmes “développeurs”), le code sera plus propre, donc plus pénible à combattre. Même raisonnement pour les aspects purement techniques puisque ces techniques seront très probablement “améliorées” par les “gentils pirates”. Non, désolé, mais à mon humble avis, il existe parfois des informations qu’il vaut mieux éviter de divulguer à l’ensemble du globe. ……. Pouvez me hurler au visage ….
Perso je trouve ces informations intéressantes.
Déjà car ceux qui ont des compétences importantes en ont déjà une bonne partie.
Ensuite pour faire comprendre que, malgré la piètre qualité du code, les dégats ont été très importants. Donc que bien pire peut arriver.
Voyons un point positif : dans ce gros problème, cela a obligé à forcer à mettre à jour les failles béantes, et certainement beaucoup d’autres.
C’était en mars dernier je crois que l’update mensuelle de windows était très importante, probablement parce que la NSA a donné ses failles à corriger à microsoft. Plein de monde (en entreprise surtout) ne les a pas appliqué.
Maintenant ils vont le faire. Dans ma boite (très gros hôpital), une mise a jour a été faite forcée durant le week-end. On n’a visiblement pas été les plus touchés, mais les ordinateurs et tous les secrets médicaux associés sont un peu moins vulnérables (un peu moins seulement…). Probablement que cela poussera un peu plus à la migration de windows (2⁄3 des PC sous 7, 1⁄3 sous XP il y a 4 mois…)
Certes 
" />
Je trouve simplement que “Kaspersky” joue de plus en plus le role de “grand sage” en matière de sécurité et que tout le monde donne beaucoup l’importance a ce qui dit, pense ou fait “Kaspersky”.
Ca me rappelle Norton…
Les éléphants seront roses et les poules auront des dents, bien avant ça, malheureusement. Globalement, la façon de faire en entreprise ne changera pas si vite.
En effet, mais Kaspersky a il me semble le plus d’analyste en la matière… J’ai l’occasion de travailler avec les différentes solutions, et en entreprise Kaspersky fait partie des meilleurs. Ils sortent plusieurs signature par jour alors que d’autres en sortent qu’une…
J’ai peut-être mal lu l’article ou les news: le code de Double Pulsar peut-il être analysé? Il serait intéressant de comparer les deux analyse, DoublePulsar et Wanacrypt, et de conclure qui code le plus avec ses pieds.
Autre remarque, je n’ai pas compris ou lu si la FAT (Table d’Allocation des Fichiers) est toujours lisible après le passage d’un ransomware. Mon idée étant de retrouver les fichiers effacés grâce à un utilitaire et ainsi éradiquer le ransomware. A moins que le ransomware se charge en plus de supprimer le fichier de son entrée FAT et d’écraser les données du disque, par exemple en mettant des 0 à la place du fichier.