Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

WanaKiwi peut retrouver la clé WannaCrypt sur Windows XP, Vista et 7

Mais il faudra quand même un peu de chance

WanaKiwi peut retrouver la clé WannaCrypt sur Windows XP, Vista et 7

Le 22 mai 2017 à 08h06

Une partie des vieilles machines touchées par le ransomware WannaCrypt peut être sauvée de la menace, avec un peu de chance et si elles n’ont pas été redémarrées. La solution partielle vient d’un chercheur français, Adrien Guinet, qui se sert d’une limitation de l’API cryptographique sur l’ancienne version du système.

Depuis maintenant presque une semaine, le monde fait face à la menace de WannaCrypt, aussi appelé régulièrement Wannacry. Il s’agit d’un ransomware réclamant entre 300 et 600 dollars de rançon après avoir accompli son forfait. Il exploite pour cela une faille de Windows et les bases d’un autre malware, tous deux des éléments fournis par les pirates de Shadow Brokers, qui les avaient dérobés à la NSA.

La menace est en partie jugulée, mais il reste encore de nombreuses machines infectées, un nombre croissant de victimes finissant par payer à cause de la peur de perdre des données : WannaCrypt ne laissait que trois jours de délai pour obtempérer. Aucune solution n’était apparue jusqu’à maintenant, mais un chercheur français en a une potentielle pour les vieilles machines sous Windows XP… à condition qu’elles n’aient pas été redémarrées.

Une efficacité partielle

C’est Adrien Guinet qui est à l’origine de ces travaux. Il diffuse sur GitHub un petit programme capable de retrouver la clé de WannaCrypt, afin qu’elle soit ensuite utilisée pour redonner accès aux fichiers.

Comme il l’indique lui-même cependant, l’intérêt de ce programme, nommé Wannakey, est potentiellement limité. Déjà parce que la vague d’assaut initiale de WannaCrypt ne vise pas vraiment Windows XP, même si la faille utilisée – EternalBlue – s’y trouve aussi. Ensuite parce qu’il est impératif que la machine n’ait pas été redémarrée une seule fois depuis son infection. Enfin parce que le programme ne fonctionne pas forcément à tous les coups. Le chercheur Matthieu Suiche, que nous avons interrogé en début de semaine, a par exemple indiqué qu'il n'y était pas arrivé.

Le maniement se fait en ligne de commande en passant par cmd.exe. L’ensemble de la procédure est expliqué dans une note sur le dépôt GitHub du chercheur. Notez que Wannakey lui-même ne déchiffre pas les données, mais qu’Adrien Guinet renvoie vers Wannafork pour cette étape une fois que la clé a été récupérée.

Pourquoi Windows XP uniquement ?

Le fonctionnement – partiel – de Wannakey s’appuie en fait sur une différence de fonctionnement de l’API Cyptographic de Windows. Le malware s’en sert en effet pour l’ensemble des opérations de chiffrement, sans chercher à réinventer la roue donc.

Ce qui a rendu WannaCrypt difficile à combattre jusqu’ici, c’est qu’il jette littéralement la clé RSA de chiffrement après utilisation. L’API de Windows ne garde par ailleurs aucune information en mémoire, pour des questions de sécurité. Sous Windows XP par contre, l’ancienne version de l’interface y laisse des traces, particulièrement les nombres premiers générés pour construire la clé. Wannakey est capable de récupérer ces informations.

Ces traces expliquent également pourquoi le programme ne fonctionnera pas à chaque fois. Non seulement la machine ne doit pas avoir été arrêtée ou redémarrée (vidage mémoire), mais il ne faut pas non plus que les données aient été remplacées par d’autres.

Il reste encore du travail

Le fait est que même si Wannakey peut fonctionner sous Windows XP, la grande majorité des postes touchés sont sur des versions plus récentes du système, où les nombres premiers ne restent pas en mémoire. Adrien Guinet a indiqué continuer à travailler sur le déchiffrement des données et tester sa solution sous Windows 10, mais ce dernier n’offre pour l’instant aucune prise de ce côté-là.

Les conseils en cas d’infection restent toujours les mêmes : ne pas payer la rançon et contacter la gendarmerie. Au vu des éléments apportés par le chercheur, on évitera également de redémarrer la machine, ne, serait-ce que pour garder l’espoir d’une solution plus tard.

Commentaires (99)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

bah ça fait le buzz parce qu’il utilise un exploit de la NSA.

et parce que ça a touché des hôpitaux.

mais je suis d’accord pour dire que c’est un gros gros buzz pour pas grand chose.

votre avatar

Les innocents payeront encore des actions prises par un groupuscule de criminels,  sous l’autel de la corruption et arrangements politico-financiers.



 

votre avatar

+1

votre avatar

la conséquence inattendue de ces ransomwares, c’est que de plus en plus de boites commencent à acheter et stocker des bitcoins, ce qui fait augmenter sa valeur. ^^

votre avatar

C’est vrai que +10% en une semaine, c’est vraiment pas mal.

votre avatar

je viens d’aller voir, on est à 1940\(, le BTC était à 1000\) début janvier.

c’est très impressionnant.

et je verse une petite larme en pensant aux BTC qui j’avais acheté 20€ en 2011.

j’aurais du les garder, ces 15BTC, putain. <img data-src=" />

votre avatar

Ça fait à peu près depuis qu’il vaut ~10\( qu'à chaque fois que j'entends parler du bitcoin, je me dis que ça a des bonnes chances de monter, et que je devrais en acheter quelques-uns... Encore en janvier, même après son pic à un peu plus de 1000\)



Mais je l’ai jamais fait, dommage <img data-src=" />

votre avatar

Photo de famille et vitale associé, désolé mais j’ai tiqué un peu …

Y’a quand même de bien meilleurs exemples de données vitales que des photos de famille…

votre avatar

rien

Ce qui fait le plus parlé c’est que la faille exploité à été patch il y a 3 mois, mais que le nombre de victimes reste énorme.

ça montre à quelle point les gens ne prennent pas la sécurité au sérieux.



De plus c’est un événement qui sera sur utiliser pour faire du préventif, type : “z’avez vu le bordel que ça peut faire quand vous mettez pas à jours.” donc faut qu’on en parle.



même si au fond ça reste un ransomware banal dans le fonctionnement.

votre avatar

Oui. Un portefeuille BTC où tu as tout tes économies dessus en revanche… (Bon faudrait être un peu fou pour ne pas avoir de copie, mais on a bien déjà vu le cas de portefeuilles qui ressurgissent de nulle part, alors pourquoi pas.) <img data-src=" />

votre avatar

vive le cloud !

votre avatar

et le Martaud !

votre avatar







Samsara a écrit :



Cette vague de piratage aura au moins mis en évidence l’absence quasi totale de prise de responsabilités des victimes, un simple HDD externe sur lequel on fait des sauvegardes journalières aurait suffit à régler le problème.





A condition de le debrancher, sinon il passe aussi a al moulinette


votre avatar

Tout cela pousse à changer d’ordi et d’os <img data-src=" />

votre avatar







Samsara a écrit :



&nbsp; Pourtant la solution très simple est là, brancher le HDD en fin de journée pour faire la sauvegarde puis le débrancher et l’emmener avec soi. Il peut y avoir un incendie ou un vol sur les lieux où se trouve l’ordinateur.





C’est simple pour toi… Mais je vais te donner deux gros argument qui vont te démontrer que pour un paquet ( une majorité en fait ) ce n’est pas si simple…





  1. Personnellement j’ai 1.2 to de donnée sur ma machine, je peut environ m’assoir sur 400 go de donnée non pertinente… J’ai un disque dur externe de 1to, dessus je&nbsp; peut sauvegarder entièrement mon petit ssd système ( win + soft ) et quasiment la totalité de mon 1to fragmenté en deux partition.



    En théorie c’est pas assez je devrais avoir 2 disques externes et encore même avec ça j’ai encore le portable à sauvegarder donc je rajoute 2 disque de 1 to. J’ai aussi un petit espace de stockage sur mon serveurs histoire d’avoir une sauvegarde de mes fichier vraiment critique, heureusement j’ai la fibre !



    Mais en faisant l’addition ça devrait me couter au bas mot 400€ pour tout sauvegarder de manière convenable, c’est vraiment cher, et si mon système crash je devrais passer un temps fou à tout réinstaller ce qui indirectement m’amène au point numéro 2…



  2. La facilité de sauvegarder / restaurer… Je suis loin d’être un noob en informatique pourtant j’ai pas vraiment trouvé la solution ultime de sauvegarde… Alors je n’imagine même pas pour les noobs… Pour le moment j’utilise cobian backup avec sauvegarde différentielle pour gagner du temps et même avec ça c’est très très lent… En moyenne ça mouline bien facilement 2h à chaque fois que je veut faire un sauvegarde.



    Le jours ou j’ai un crash je devrait formater et tout réinstaller donc oui j’ai sauvegarde mais je perdrais énormément de temps. Dans l’absolu je préférerais avoir une image du disque dur avec ou sans donnée non importante, sauf que aucun soft ne peut faire de la sauvegarde différentielle, donc c’est très long.



    Beaucoup de gens parlent de la sauvegarde mais je voit rarement des articles expliquer comment ça fonctionne, c’est du débrouiller vous… Le grand publique est donc complètement largué et la plupart du temps ça ce finit à coup de copier coller sous windows et ça met des plombes.





    D’ailleurs si vous connaissez un software gratuit pour faire des images d’une partie d’un dur pour facilité la restauration, qui possède un mode différentiel et une fois sauvegarde faite qu’ont puisse extraire facilement des données, n’hésitez pas à donner des noms !


votre avatar

WannaKiwi apporte le support de 2003, Vista et 2008 :&nbsphttp://blogmotion.fr/internet/securite/wanakiwi-dechiffrer-wannakey-16005 :)



#cocorico

votre avatar







Paladin_Fr a écrit :



surtout temps et inconscience je pense car pour 100 euro tu peux te bricoler un truc qui t’assure un minimum de sécurité (suffit d’amener le disque au bureau le jour de la sauvegarde et de le ramener chez toi ensuite)







Ouais mais bon c’est tellement plus sympa de perdre sa thèse/ son projet à présenter le lendemain, plutôt que de perdre 10 minutes par jour pour sauvegarder.


votre avatar

d’un autre côté c’est difficile de dire “pas de rançon” et en même temps “libérez les otages”. ^^

votre avatar

Et si le virus se déclenche quand le disque USB de sauvegarde est branché ? Et là c’est le drame…



A moins que tu aies une station de copie “externe” (insensible au virus).

Si on ajoute que, vu la fiabilité, il faut faire les sauvegardes sur au moins 2 disques.

Que si le virus est vicieux il peut commencer à crypter des fichiers des jours avant de se signaler (ce qui oblige à avoir d’autant plus de disques et à faire des sauvegardes différentielles)



Bref sauvegarder sur un seul disque c’est mieux que rien mais ce n’est quand même qu’un embryon de réponse.

&nbsp;&nbsp;

&nbsp;

votre avatar







tpeg5stan a écrit :



“si ça rate, formate”<img data-src=" />







“si ça pète, rachète”


votre avatar







v1nce a écrit :



Et si le virus se déclenche quand le disque USB de sauvegarde est branché ? Et là c’est le drame…





Putain de pute ça serais vraiment très très pute comme manière d’agir… if disk name = “backup^ || disk name == “” + software name “backup.exe” &gt; virus : on. Après si le virus est “clasique” il ne faut pas avoir de bol pour ce faire infecter pendant que l’ont effectue une sauvegarde :/ Le mieux serais de débrancher le disque avant de faire une sauvegarde et d’avoir un disque en double. Car au passage, un disque dur de sauvegarde peut tomber en panne.



&nbsp;


votre avatar

Donc en gros, si on avait le malheur d’avoir un périphérique USB de stockage, celui-ci était aussi crypté par cette merde ??

Enfin, si j’ai bien compris, j’avoue être à la rue dans ce domaine.

votre avatar

Je ne sais pas pour ce ransomware là, mais il y en a qui se limitaient au profil de l’utilisateur, d’autre aux disques locaux et finalement, certains exploraient tout, y compris les partages réseaux…



Donc dans tous les cas : méfiance.

votre avatar







skankhunt42 a écrit :



Putain de pute ça serais vraiment très très pute comme manière d’agir… if disk name = “backup^ || disk name == “” + software name “backup.exe” &gt; virus : on. Après si le virus est “clasique” il ne faut pas avoir de bol pour ce faire infecter pendant que l’ont effectue une sauvegarde :/ Le mieux serais de débrancher le disque avant de faire une sauvegarde et d’avoir un disque en double. Car au passage, un disque dur de sauvegarde peut tomber en panne.







Il y a peu de chance que ca arrive SI la machine est hors réseau (attaque smb) ou si l’utilisateur n’ouvre pas de pièce jointe betement <img data-src=" />


votre avatar

D’accord, je comprends mieux, merci.

votre avatar







CryoGen a écrit :



Je ne sais pas pour ce ransomware là, mais il y en a qui se limitaient au profil de l’utilisateur, d’autre aux disques locaux et finalement, certains exploraient tout, y compris les partages réseaux…



Donc dans tous les cas : méfiance.





Au boulot, le seul qu’on a eu s’est attaqué au disque local de la personne et aux dossiers réseau où elle avait des accès en écriture. (on a active directory sur windows server 2008)


votre avatar

Si win7est touché, cela ne m’étonne plus qu’il ait des problèmes de màj récalcitrantes (Windows aime l’obsolescence avec menaces, ça l’amuse, Linux est là)

votre avatar

Suite,



Même si ce n’est intentionnel. Il est le premier à avoir prononcé les difficultés que paurraient rencontrer Win 7 au moment d’avoir voulu imposer Win 10

votre avatar

Il ne faut pas oublier que win 7 est toujours un OS très répendu (pas “intentionnel” dans mon précédant message)

votre avatar

tiens ça me fait penser à une saleté qu’une collègue m’avait apportée (récupérée à l’école de son fils)

Quand tu branchais une clé USB (probablement un disque aussi…), ça planquait tous les fichiers présents sur le média amovible et ça les remplaçait par un raccourci + ça infectait la machine pour qu’elle refile la chtouille aux prochaines clés qu’on brancherait (mis à part le process qui réalisait ces joyeuseté, le poste ne présentait aucun comportement bizarre - pas de ralentissement, de popup ou autre.)



(ça m’avait fait gagner une boite de ferrero/raphaelo ♥ )

votre avatar







korgall a écrit :



Le vendredi 19 mai 2017 à 12:26:51

Comment est-ce qu’il est possible de déchiffrer après paiement alors ?





Il n’ y a pas de système tout simplement. Pourquoi déchiffrer alors que l’opération est réussie.

A moins qu’il y a doute !!


votre avatar







skankhunt42 a écrit :



C’est simple pour toi… Mais je vais te donner deux gros argument qui vont te démontrer que pour un paquet ( une majorité en fait ) ce n’est pas si simple…

[…]



Beaucoup de gens parlent de la sauvegarde mais je voit rarement des articles expliquer comment ça fonctionne, c’est du débrouiller vous… Le grand publique est donc complètement largué et la plupart du temps ça ce finit à coup de copier coller sous windows et ça met des plombes.





D’ailleurs si vous connaissez un software gratuit pour faire des images d’une partie d’un dur pour facilité la restauration, qui possède un mode différentiel et une fois sauvegarde faite qu’ont puisse extraire facilement des données, n’hésitez pas à donner des noms !







Mais je trouve que justement le copié-coller avec classement de ce que tu backup est bien la meilleure des solutions.

Pour ma part, j’ai 3 disques de backup qui me servent à backup toutes mes machines.

Je n’utilise pas ce logiciel de backup. Je le fais à la main. Je range et classe correctement mes fichiers à l’origine ce qui permet de les copier facilement lors du backup.

De plus, ca permet de faire un classement et nettoyage supplémentaire lors du backup et de limiter la taille prise à cause de la masse de fichiers inutiles qui sont téléchargés et générés lors de l’utilisation quotidienne des ordinateurs (Téléchargement d’images, de mêmes pour reupload sur des canaux de discussions privées, bons de livraisons, fichiers exe temporaire, docs temporaires etc ….)



Du coup, je trouve qu’il n’est pas forcement adéquate, de mon point de vue, il suffit d’être organisé dès le départ et utiliser la méthode la plus simple.


votre avatar

Résumé :




  1. Création d’un jeu de clés RSA privée (dky) / publique (pky) pour le poste concerné.

  2. Pour chaque fichier, création d’une une clé AES et chiffrement du fichier avec cette clé AES.

    Le fichier chiffré possède une entête qui contient la clé AES préalablement chiffrée avec la clé RSA publique du poste (pky).

  3. Sauvegarde sur le disque d’un fichier “eky” qui contient la clé RSA privée du poste (dky) préalablement chiffrée avec la clé RSA publique “maitre”.



    Décryptage :

  4. Envoie du fichier “eky” au CC

  5. le CC déchiffre le fichier “eky” avec sa clé RSA privée “maitre”, récupère la clé RSA privée du poste (dky) et la renvoie au poste infecté

  6. Pour chaque fichier, déchiffrement du fichier =&gt; déchiffrement de la clé AES dans l’entete + déchiffrement du contenu avec la clé AES

votre avatar

Merci Windows XP <img data-src=" />

votre avatar

<img data-src=" />



Le C&C ne stocke pas les clés RSA privées/publiques générées pour chaque PC.



Ces clés sont stockées sur le PC dans un fichier “eky”, ce fichier étant chiffré avec la clé “maitre” du CC.

Il faut envoyer le fichier “eky” au CC qui va le déchiffrer avec sa clé “maitre”, puis renvoyer les clés RSA qui sont contenus dedans.

votre avatar

Et en cas de sinistre touchant le porteur de ton HDD externe ? Et dans le cas d’une grande quantité de données à sauvegarder (et donc le temps de transfert chaque jour) ? etc.



Ta proposition est, pour le coup, le tout premier degré d’une solution de sauvegarde (mais c’est déjà un début, je te l’accorde) et repose énormément sur la rigueur de celui/ceux qui en auront la tâche.



Pour beaucoup de boites (en particulier les TPE), le combo “ouais mais on n’a jamais eu de problème”+ cout d’une vraie solution de sauvegarde* est plutôt fatal à la décision <img data-src=" />



* quand bien même celle-ci ne serait qu’un bête robocopy ou un rsync vers un espace de stockage sur site et un autre en dehors, il y a toujours le cout de la prestation, de l’abo pour le stockage externe, etc.

votre avatar







127.0.0.1 a écrit :



<img data-src=" />



Le C&C ne stocke pas les clés RSA privées/publiques générées pour chaque PC.



Ces clés sont stockées sur le PC dans un fichier “eky”, ce fichier étant chiffré avec la clé “maitre” du CC.

Il faut envoyer le fichier “eky” au CC qui va le déchiffrer avec sa clé “maitre”, puis renvoyer les clés RSA qui sont contenus dedans.





Ah autant pour moi, j’etais persuade de l’inverse. En gros la cle privee du client est contenu dans un fichier qui est chiffree avec la cle publique du groupe responsable et qui possede egalement un serveur de dechiffrement contenant leur cle privee et qui passe par des relais C&C pour la transaction.



Effectivement, c’est plus intelligent et efficace.



De toute maniere, dans tous les cas on est emmerde.


votre avatar
votre avatar

intelligent et efficace, ca se discute: si tu trouves la clé privée “maitre”, tu peux déchiffrer tous les PC de la planète.



Il y a des ransomware plus intelligents qui essayent de contacter le CC pour avoir une autre clé “maitre”. Le CC gère alors un pool de clé maitre qu’il renouvelle de temps a autres.


votre avatar







127.0.0.1 a écrit :



intelligent et efficace, ca se discute: si tu trouves la clé privée “maitre”, tu peux déchiffrer tous les PC de la planète.



Il y a des ransomware plus intelligents qui essayent de contacter le CC pour avoir une autre clé “maitre”. Le CC gère alors un pool de clé maitre qu’il renouvelle de temps a autres.





Certes mais en contrepartie tu augmentes la complexite et par consequent le risque qu’on te remonte. Dans tous les cas je suis toujours emerveille par l’ingeniosite de ces systemes meme si la breche ne casse pas 3 pattes a un canard la ou conficker avait sorti du lourd.


votre avatar

c’est surtout que si les auteurs de Wanacrypt avaient été malins, ils auraient collé un délai d’incubation: au lieu de lancer directement le chiffrement, le ver aurait pu attendre quelques jours (tout en se propageant).

du coup propagation silencieuse, et infection maximale y compris dans les sauvegardes.



<img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

Vous n’êtes quand même pas gênés de conseiller aux victimes de ne pas payer la rançon. Certes, ça encourage ce business illégal, mais peut-être que ces dernières ont des données vitales (genre photos de famille) qu’elles souhaitent récupérer, quitte à lâcher 300e.



Ca me fait penser aux histoires de rançons exigées par les groupes terroristes (toute proportion gardée), facile de se refuser à payer - comme les autorités américaines/UK, lorsque l’on est pas la victime.

votre avatar



Une partie des vieilles machines touchées par le ransomware WannaCrypt

peut être sauvée de la menace, avec un peu de chance et si elles n’ont

pas été redémarrées.





Est-ce que l’on peut porter plainte contre l’ANSSI ?

&nbsp;

De manière préventive, s’il n’est pas possible de mettre à jour un

serveur, il est recommandé de l’isoler, voire de l’éteindre le temps

d’appliquer les mesures nécessaires.

votre avatar







hellmut a écrit :



c’est surtout que si les auteurs de Wanacrypt avaient été malins, ils auraient collé un délai d’incubation: au lieu de lancer directement le chiffrement, le ver aurait pu attendre quelques jours (tout en se propageant).

du coup propagation silencieuse, et infection maximale y compris dans les sauvegardes.



<img data-src=" /><img data-src=" /><img data-src=" />





D’ailleurs si qqn pouvait m’expliquer pourquoi il y a autant de foin autour de ce malware.. Le concept de ransomware n’est pas nouveau et la faille qu’il exploite etait deja connue, a moins qu’un parametre m’echappe, je ne vois pas trop ce qui le differencie de ses semblables.


votre avatar







stilgars a écrit :



Vous n’êtes quand même pas gênés de conseiller aux victimes de ne pas payer la rançon. Certes, ça encourage ce business illégal, mais peut-être que ces dernières ont des données vitales (genre photos de famille) qu’elles souhaitent récupérer, quitte à lâcher 300e.



Ca me fait penser aux histoires de rançons exigées par les groupes terroristes (toute proportion gardée), facile de se refuser à payer - comme les autorités américaines/UK, lorsque l’on est pas la victime.





Enfin la on parle de données, pas de vies humaines…


votre avatar

Ça fait très mal de perdre les photos de famille, c’est sûr, mais ça n’a rien de vital.

A chacun de voir si un une petite chance de revoir ses photos de familles vaut le coup de financer on-sait-pas-qui (potentiellement du crime organisé voire du terrorisme). Sans compter que plus on paie, plus on encourage le business-model.

votre avatar

Contrairement à la plupart (la totalité?) de ses prédécesseurs, il se propage de machine en machine sans action de l’utilisateur.

votre avatar

Tu viens de te réveiller et tu as manqué une partie de l’histoire ?

votre avatar

je vous l’avais bien dit de ne pas mettre à jour depuis Windows XP<img data-src=" />

votre avatar



Ce qui a rendu WannaCrypt difficile à combattre jusqu’ici, c’est qu’il jette littéralement la clé RSA de chiffrement après utilisation.



Comment est-ce qu’il est possible de déchiffrer après paiement alors ?

votre avatar

essayez en le lancant en mode compatibilité <img data-src=" />

<img data-src=" />

votre avatar

Ben justement, il ne déchiffre rien :)

votre avatar

Ils t’envoient la clé après paiement (ou pas s’ils sont vraiment méchants !)

votre avatar

Les premiers retours montrent qu’il n’en est rien (pas les sources sous la main).

votre avatar

c’est explique dans l’article.



La memoire ne se vide pas donc les nombres premiers (la cle en gros) sont toujours dans la RAM du PC.

votre avatar







korgall a écrit :



Comment est-ce qu’il est possible de déchiffrer après paiement alors ?





Certainement qu’elle est envoyee a un C&C qui va la stocker dans une BDD comme tous les malware de ce type.


votre avatar

La clé est donc rapatrié avec un identifiant vers un C2 pour ensuite être délivré si paiement ?



Je n’ai pas vu d’analyse parlant d’un tel système.

votre avatar

euh dans quel sens ? (ils envoient la clé ou t’es fumé ?)

votre avatar

Bon, un fois envoyé les bitcoins, et récupéré la clé de déchiffrement…

Ils envoient aussi le uninstall.exe de leur mer<img data-src=" /> ? <img data-src=" />

votre avatar





  • Each infection generates a new RSA-2048 keypair.

  • The public key is exported as blob and saved to 00000000.pky

  • Each file is encrypted using AES-128-CBC, with a unique AES key per file.

  • Each AES key is generated CryptGenRandom.

  • The AES key is encrypted using the infection specific RSA keypair.





    The RSA public key used to encrypt the infection specific RSA private key is embedded inside the DLL and owned by the ransomware authors.



    Source



    Et pour encore plus de détails : Wannacry DLL ops

votre avatar

twitter.com Twitterapparemment, certains ont réussi à décrypter après paiement..

votre avatar

Ou tu n’as pas compris l’article, ou tu n’as pas compris la question.



D’après les informations qui il y a sur Wannafork, il semblerait que la clé privée utilisée soit cryptée avec la clé publique maitre.

Pour décrypter les données ils faudrait donc envoyer la clé privée cryptée au C&C qui est capable de la décryptée puis qui l’a renverra au poste infectée.



Résumé :




  1. Création d’un jeu de clés privée/publique pour le poste concerné&nbsp;(C’est cette étape qui laisse des trace sous XP permettant de régénérer le jeu de clé privée/publique à nouveau)

  2. Cryptage des données du poste

  3. Cryptage de la clé privée avec la clé publique “maître”



    Décryptage :

  4. Envoie de la clé privée cryptée au C&C

  5. le C&C décrypte la clé privée avec sa clé privée “maître”

  6. la clé privée décryptée est renvoyé au poste infecté



    Bien sur, je ne suis pas expert, n’hésitez pas à me corriger.

votre avatar







TheMyst a écrit :



Ou tu n’as pas compris l’article, ou tu n’as pas compris la question.



D’après les informations qui il y a sur Wannafork, il semblerait que la clé privée utilisée soit cryptée avec la clé publique maitre.

Pour décrypter les données ils faudrait donc envoyer la clé privée cryptée au C&C qui est capable de la décryptée puis qui l’a renverra au poste infectée.



Résumé :




  1. Création d’un jeu de clés privée/publique pour le poste concerné&nbsp;(C’est cette étape qui laisse des trace sous XP permettant de régénérer le jeu de clé privée/publique à nouveau)

  2. Cryptage des données du poste

  3. Cryptage de la clé privée avec la clé publique “maître”



    Décryptage :

  4. Envoie de la clé privée cryptée au C&C

  5. le C&C décrypte la clé privée avec sa clé privée “maître”

  6. la clé privée décryptée est renvoyé au poste infecté



    Bien sur, je ne suis pas expert, n’hésitez pas à me corriger.





    https://chiffrer.info/


votre avatar

Arg, et pourtant je me suis (très rapidement) posé la question.



Bon, j’ai justifié tout ça en bas de mon message précédent :)

votre avatar

On n’a plus les données mais on a encore accès à la commande ?

votre avatar

Tout objet connecté, le rend plus rapidement obsolète le moment venu (désolé mon commentaire deviendra obsolète par la suite, je passe tout de go à ma version 1.1)<img data-src=" />

votre avatar

Cette vague de piratage aura au moins mis en évidence l’absence quasi totale de prise de responsabilités des victimes, un simple HDD externe sur lequel on fait des sauvegardes journalières aurait suffit à régler le problème.

votre avatar







domFreedom a écrit :



Bon, un fois envoyé les bitcoins, et récupéré la clé de déchiffrement…

Ils envoient aussi le uninstall.exe de leur mer<img data-src=" /> ? <img data-src=" />





Non, c’est en fait un abonnement avec tacite reconduction.


votre avatar







brice.wernet a écrit :



Non, c’est en fait un abonnement avec tacite reconduction.







<img data-src=" /> <img data-src=" />


votre avatar

Pas si simple, il faut toujours avoir au moins 2 jeux de sauvegarde.



On a un client qui avait son périphérique de sauvegarde connecté sur le poste, bha le virus a chiffré la sauvegarde …. ( c’était un virus du même genre, je ne sais pas s’il fait ça aussi celui la mais y a de fortes chances pour)

votre avatar







Skywa a écrit :



Pas si simple……

périphérique de sauvegarde connecté sur le poste





&nbsp;Pourtant la solution très simple est là, brancher le HDD en fin de journée pour faire la sauvegarde puis le débrancher et l’emmener avec soi.

Il peut y avoir un incendie ou un vol sur les lieux où se trouve l’ordinateur.


votre avatar

et que dire de l’ethereum, entre juillet et jusqu’à la fin 2016 il était à 10-15\( , là il est à 124\)



j’ai miné&nbsp; 60eth depuis le mois d’aout, mais j’ai converti la plupart en bitcoin en décembre, juste avant que ça monte… la rage <img data-src=" />



&nbsp;bon au moins le btc monte aussi… mais c’est pas du x10 non plus

votre avatar

C’est fou que les gens ne savent pas lâcher leur connexion en fin de vie de leur machine. Aujourd’hui la connexion pour tout est une aberration commerciale. Dire qu’un nouveau PC est plus rapide, certes, mais ses mises à jour ont tendance à ralentir le PC avec le temps, à cause d’une évolution effrénée des nouvelles ressources passée de A à B et l’obsolescence passe du galop au trot avec ces mises à jour successives.

Mon C64 était arrivé à sa pleine vitesse en fin de vie (par une programmation plus fine), et ça marche toujours nickel avec les possibilités de la machine. Aujourd’hui sur les objets connectés en fin de vie, les multiples rustines rendent ceux-ci plus lent qu’aux moment de l’ achat ou à l’achat d’un nouvel OS (Mettre un nouvel OS sur son ancienne machine est une stupidité en en pensant que ça va aller plus vite, certes peut-être un peu mieux au départ, mais on déchante très vite)<img data-src=" />

votre avatar







2show7 a écrit :



(Mettre un nouveau Windows, Mac OS, Android,&nbsp; sur son ancienne machine est une stupidité en en pensant que ça va aller plus vite, certes peut-être un peu mieux au départ, mais on déchante très vite)<img data-src=" /> 




&nbsp;&nbsp;




<img data-src=" /> 



 Pas forcément sous Linux :D




Edit : nouvel OS


votre avatar







Jeanprofite a écrit :



<img data-src=" />

Pas forcément sous Linux <img data-src=" />







Mon vieux PC portable, un Intel core Solo T1350 à 1.86 GHz tient à la limite avec Linux Mint, ça rame de plus en plus <img data-src=" /> (avec le navigateur, principalement) ;)


votre avatar

la “solution”, c’est la sauvegarde cloud. il y a deux types d’offres :

&nbsp;- nombre de poste illimités mais quantitées de données limitées (ex spideroak One)




  • nombre de poste limité à 1, mais quantité de données illimitées (ex crashplan)



    enfin, ce n’est pas parfait (besoin bon lien internet + abonnement du genre 10$/mois), mais c’est simple d’utilisation. et ils gardent les différentes versions des fichiers.



    Je déploie ces solutions chez mes clients maintenant, en complément d’une sauvegarde sur site sur disque externe.

votre avatar
votre avatar

Oui les états, comme la france sont des putes.

Ils font genre, on ne paye jamais de rançon, mais en réalité il y a des millions d’euros qui passent en valise et qui alimentent ce business horrible.

Il y a des preuves sur plusieurs affaires, mais ça reste toujours bien discret.

votre avatar



Attention, les conditions sont les mêmes que pour Wannakey : la machine ne doit pas avoir été redémarrée, et l’outil doit être exécuté aussi vite que possible.





Ce qui reste peu probable chez Mr/Mme ToutLeMonde, la première réaction étant “C’est quoi ce message d’erreur ? Pourquoi ca marche pas ? … je vais redémarrer, ca ira mieux”.

votre avatar

Ou chez l’informaticien moyen sous Windows “dans le doute reboote”&nbsp;<img data-src=" />

votre avatar

mets les perfs graphiques de cinnamone au mini, ou change d’interface graphique… Il n’y &nbsp;a pas de miracle, ce sera de toutes façons lent, avec les pages web de plus en plus lourde, ça n’aide pas…. :/

votre avatar







billylebegue a écrit :



“dans le doute reboote”&nbsp;<img data-src=" />





“si ça rate, formate”<img data-src=" />


votre avatar







skankhunt42 a écrit :



D’ailleurs si vous connaissez un software gratuit pour faire des images d’une partie d’un dur pour facilité la restauration, qui possède un mode différentiel et une fois sauvegarde faite qu’ont puisse extraire facilement des données, n’hésitez pas à donner des noms !






  syncback       


 gratuit plein d'option et encore plus d'option si tu prend le payant.       


 Moi j'en suis content.       


 Je m'en sers pour sauvegarder mon nas.


edit : j’ai essayé des “vrai” logiciel de sauvegarde. La sauvegarde est lente, la restauration est lente… 




 Maintenant le fait est qu'il a raison.       


 Faire une sauvegarde et laisser le disque branché en permanence ça sert pas à grand chose... wannacrypt c'est un tout petit risque, tu peux subir un dégat électrique, un vol, une panne de plusieurs disque en série (ca arrive)       


 Dans l'idéal un particulier devrait faire sa sauvegarde et mettre le disque ailleurs ensuite.       


 Tu es pas obligé de tout sauvegarder non plus.&nbsp;  Et un disque de 3to ça coute 100-120 euro ? Et suivant ce que tu as à sauvegarder tu peux sans doute passer sur un 1 to voire moins (50 euro ?)     







 Et pour un pro ou semi-pro c'est pas idéal.       


 C'est OBLIGATOIRE d'avoir une sauvegarde déportée !       


 &nbsp;La ludothèque de ma ville a subi un vol. Le pc a été volé. Ouf disque de sauvegarde !       


 Oups il a été volé en même temps...       







 Un architecte à Rennes, vol de son pc : il a perdu 5 ans de boulot.... pas de sauvegarde...

votre avatar







Paladin_Fr a écrit :



syncback 



 gratuit plein d'option et encore plus d'option si tu prend le payant.       


 Moi j'en suis content.       


 Je m'en sers pour sauvegarder mon nas.


edit : j’ai essayé des “vrai” logiciel de sauvegarde. La sauvegarde est lente, la restauration est lente… 




 Maintenant le fait est qu'il a raison.       


 Faire une sauvegarde et laisser le disque branché en permanence ça sert pas à grand chose... wannacrypt c'est un tout petit risque, tu peux subir un dégat électrique, un vol, une panne de plusieurs disque en série (ca arrive)       


 Dans l'idéal un particulier devrait faire sa sauvegarde et mettre le disque ailleurs ensuite.       


 Tu es pas obligé de tout sauvegarder non plus.   Et un disque de 3to ça coute 100-120 euro ? Et suivant ce que tu as à sauvegarder tu peux sans doute passer sur un 1 to voire moins (50 euro ?)     







 Et pour un pro ou semi-pro c'est pas idéal.       


 C'est OBLIGATOIRE d'avoir une sauvegarde déportée !       


  La ludothèque de ma ville a subi un vol. Le pc a été volé. Ouf disque de sauvegarde !       


 Oups il a été volé en même temps...       







 Un architecte à Rennes, vol de son pc : il a perdu 5 ans de boulot.... pas de sauvegarde...








De mes petits 20 ans d’expérience, que ce soit pour des pros, semi-pros ou particulier, en général les gens ne font pas de sauvegarde parce que pas le temps/pas les moyen d’acheter un disque externe, jusqu’au drame et là ils regrettent.


votre avatar

trop tard pour éditer

je repense à l’architecte…. le voleur qui a piqué son pc est entièrement responsable bien sur. Et l’archi a fait un appel pour lui demander de lui rendre les données car c’était 5 ans de sa vie.

Mais il aurait fait quoi si sa machine avait rendu l’âme ? Pris une surtension électrique ? une inondation ? un incendie ?

wannacrypt et un vol c’est finalement le moins pire car tu as un espoir de récupérer tes données…

votre avatar







tpeg5stan a écrit :



mets les perfs graphiques de cinnamone au mini, ou change d’interface graphique… Il n’y  a pas de miracle, ce sera de toutes façons lent, avec les pages web de plus en plus lourde, ça n’aide pas…. :/







J’ai cinnamon (par préférence). Pour du Traitement de texte, c’est suffisant <img data-src=" />


votre avatar







darkbeast a écrit :



De mes petits 20 ans d’expérience, que ce soit pour des pros, semi-pros ou particulier, en général les gens ne font pas de sauvegarde parce que pas le temps/pas les moyen d’acheter un disque externe, jusqu’au drame et là ils regrettent.





surtout temps et inconscience je pense car pour 100 euro tu peux te bricoler un truc qui t’assure un minimum de sécurité (suffit d’amener le disque au bureau le jour de la sauvegarde et de le ramener chez toi ensuite)


votre avatar







skankhunt42 a écrit :



D’ailleurs si vous connaissez un software gratuit pour faire des images d’une partie d’un dur pour facilité la restauration, qui possède un mode différentiel et une fois sauvegarde faite qu’ont puisse extraire facilement des données, n’hésitez pas à donner des noms !





Je me sert de veeam endpoint backup pour faire les images des postes au boulot (et on a aussi la version payante pour faire les sauvegardes serveur) :

https://www.veeam.com/fr/windows-endpoint-server-backup-free.html



Tu peux faire une sauvegarde partielle ou totale, de l’incrémental, ils utilisent la déduplication de données pour gagner de la place et tu as aussi un iso de recovery pour pouvoir booter sur clé usb / cd si problème ou nécessité de restauration.

&nbsp;Je viens d’ailleurs de voir que la nouvelle version gratuite amène aussi la possibilité de planifier directement la sauvegarde et gère les vm instantannées


votre avatar

Ta remarque ne concerne que les particuliers et encore si le HDD est branché au PC pendant le chiffrement te l’as dans l’os bien profond. On est pas dans un monde ou tous les ordinateurs n’ont qu’un utilisateur bien défini…



Des PC il y en a partout, on ne pas demander à la caissière (ou le caissier) de la cafétéria de ramener son disque dur pour faire un backup de l’ordi qui se cache derrière sa caisse.



Même chose dans un hôpital. Il y a 2 ou 3 ordinateurs par desk avec au total une dizaine d’utilisateurs (oui ça tourne H24). La sauvegarde automatique via réseau n’est peu être pas le moyen le plus sûr mais c’est le seul moyen de gérer un grand parc de PC.&nbsp;

votre avatar







2show7 a écrit :



C’est fou que les gens ne savent pas lâcher leur connexion en fin de vie de leur machine. (…)

&nbsp;Mettre un nouvel OS sur son ancienne machine est une stupidité en en pensant que ça va aller plus vite, certes peut-être un peu mieux au départ, mais on déchante très vite&nbsp;





AMHA, la fin de vie d une machine est définie par la fin de support de son OS.

Là dessus, je suis d’accord sur la connexion: un OS non supporté ne devrait pas être connecté.



&nbsp;(sauf que ds le cas de wannacrypt, il semblerait que la majorité des victimes soient sous win7, je soupçonne fortement des soucis ds l IT des entreprises plutôt que chez les particuliers: réseau/firewall mal configurés et patchs pas déployé rapidement)



Mais on peut prolonger la vie d une machine en changeant d OS et ce de manière positive: un vieux PC type Athlon64 avec 1 ou 2 GB de RAM qui a 10-12 ans peut tourner très bien sous un Linux light type Lubuntu 14.04 ou 16.04 et bcp mieux qu avec le Windows XP d origine!

Certes, pour le web, on voit alors combien les pages sont devenues lourdes. Mais pou un petit usage bureautique familial, cela reste largement utilisable.


votre avatar

J’ai connu ça là où je travaille et pour éviter de rencontrer ce genre de problème, j’ai déployé la clé de registre suivante afin de désactiver toute exécution automatique du fichier autorun.inf :



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@=“@SYS:FileDoesNotExist”



“FileDoesNotExist” est du texte qui peut être remplacé par n’importe quoi d’autre.

votre avatar

Il faut partir du principe que n’importe quelle unité de stockage accessible en écriture pourra et sera chiffrée.

votre avatar

Au boulot (et d’ailleurs on a pas été touché par ce virus sur les pc bureau tique en tout cas), on a une sauvegarde cloud

votre avatar







tibibs a écrit :



c’est explique dans l’article.



La memoire ne se vide pas donc les nombres premiers (la cle en gros) sont toujours dans la RAM du PC.





alors faut la sortir et la remplacer


votre avatar

Pas besoin de tester quoi que ce soit. Tu infectes tous les volumes qui sont connectés. Si tu travailles 7h00 par jour et qu’il te faut 1h00 pour faire une sauvegarde totale (usb2…) tu vois que la probabilité d’avoir des fichiers vérolés est déjà très élevée. Soit parce que le cryptage va se déclencher pendant la période ou le disque est branché. Soit parce que le cryptage a déjà eu lieu sur le disque maître (mais qu’il est encore passé inaperçu) et que tu recopies des fichiers vérolés.

votre avatar







127.0.0.1 a écrit :



“si ça pète, rachète”







Et si t’en a raz le cux, passe à Linux.


votre avatar







fred42 a écrit :



Ils t’envoient la clé après paiement (ou pas s’ils sont vraiment méchants !)



&nbsp;



A priori, cela ne doit pas être des enfants de cœur, perso, je préfère perdre&nbsp;mes données… Car je ne pense pas que ce type de personne envoie réellement de quoi récupérer les données en sachant que cela laisse des traces… Et si c’est pour financer des actions terroristes ou autre, je préfère perdre les données que j’ai sur mon disque dur interne que payer ce type de connards qui n’apportent rien en dehors de rappeler aux gens que prudence est mère de sureté… (Et pour l’info: “contacter la gendarmerie”, j’ai fait un dépôt de plainte pour escroquerie il y a quelques années (petit montant: moins de 50 euros, je le concède, en fournissant les coordonnées bancaires du mec (et donc à priori, son nom car on ne peut pas ouvrir de compte sans pièce d’identité… La banque serait sinon responsable !), classé en moins de deux mois, bref, je pense que la justice ne veut pas s’intéresser à ce genre de choses, à moins qu’on soit une grande star avec une énorme aura médiatique… et que les petits escrocs n’ont pas de quoi s’inquiéter avec la redirection de beaucoup de moyen vers l’état d’urgence.


votre avatar







NONAUFOOT a écrit :



A priori, cela ne doit pas être des enfants de cœur, perso, je préfère perdre mes données… Car je ne pense pas que ce type de personne envoie réellement de quoi récupérer les données en sachant que cela laisse des traces… Et si c’est pour financer des actions terroristes ou autre, je préfère perdre les données que j’ai sur mon disque dur interne que payer ce type de connards qui n’apportent rien en dehors de rappeler aux gens que prudence est mère de sureté… (Et pour l’info: “contacter la gendarmerie”, j’ai fait un dépôt de plainte pour escroquerie il y a quelques années (petit montant: moins de 50 euros, je le concède, en fournissant les coordonnées bancaires du mec (et donc à priori, son nom car on ne peut pas ouvrir de compte sans pièce d’identité… La banque serait sinon responsable !), classé en moins de deux mois, bref, je pense que la justice ne veut pas s’intéresser à ce genre de choses, à moins qu’on soit une grande star avec une énorme aura médiatique… et que les petits escrocs n’ont pas de quoi s’inquiéter avec la redirection de beaucoup de moyen vers l’état d’urgence.





ils envoient certainement la clé, sinon ça se propagerait et plus personne ne va payer ce qui ne doit pas être dans leur intérêt


votre avatar

Au regard de l’ampleur de la chose, on peut trouver le déploiement du virus disproportionné au regard de l’objectif de paiement.



&nbsp;Avis qu’il est bien plus intéressant de diffuser le virus “avec modération” pour éviter une vague de réactions dans la presse classique et même la sortie de patch jusqu’à XP. &nbsp;



Précisément, à la lecture de plusieurs articles sur le sujet, l’attaque aurait une rentabilité relativement faible.



L’objectif serait en réalité d’asservir plus de machines pour miner de la monnaie virtuelle. Par conséquent, le paiement ou non pour déchiffrer (dans l’éventualité où la clef serait communiquée après paiement) serait du bonus.



On peut donc envisager que la vitesse de propagation est une erreur d’appréciation des auteurs du virus, ou que l’aspect chiffrage/paiement n’est qu’une devanture.

WanaKiwi peut retrouver la clé WannaCrypt sur Windows XP, Vista et 7

  • Une efficacité partielle

  • Pourquoi Windows XP uniquement ?

  • Il reste encore du travail

Fermer