WanaKiwi peut retrouver la clé WannaCrypt sur Windows XP, Vista et 7

Mais il faudra quand même un peu de chance

WanaKiwi peut retrouver la clé WannaCrypt sur Windows XP, Vista et 7

WanaKiwi peut retrouver la clé WannaCrypt sur Windows XP, Vista et 7

Une partie des vieilles machines touchées par le ransomware WannaCrypt peut être sauvée de la menace, avec un peu de chance et si elles n’ont pas été redémarrées. La solution partielle vient d’un chercheur français, Adrien Guinet, qui se sert d’une limitation de l’API cryptographique sur l’ancienne version du système.

Depuis maintenant presque une semaine, le monde fait face à la menace de WannaCrypt, aussi appelé régulièrement Wannacry. Il s’agit d’un ransomware réclamant entre 300 et 600 dollars de rançon après avoir accompli son forfait. Il exploite pour cela une faille de Windows et les bases d’un autre malware, tous deux des éléments fournis par les pirates de Shadow Brokers, qui les avaient dérobés à la NSA.

La menace est en partie jugulée, mais il reste encore de nombreuses machines infectées, un nombre croissant de victimes finissant par payer à cause de la peur de perdre des données : WannaCrypt ne laissait que trois jours de délai pour obtempérer. Aucune solution n’était apparue jusqu’à maintenant, mais un chercheur français en a une potentielle pour les vieilles machines sous Windows XP… à condition qu’elles n’aient pas été redémarrées.

Une efficacité partielle

C’est Adrien Guinet qui est à l’origine de ces travaux. Il diffuse sur GitHub un petit programme capable de retrouver la clé de WannaCrypt, afin qu’elle soit ensuite utilisée pour redonner accès aux fichiers.

Comme il l’indique lui-même cependant, l’intérêt de ce programme, nommé Wannakey, est potentiellement limité. Déjà parce que la vague d’assaut initiale de WannaCrypt ne vise pas vraiment Windows XP, même si la faille utilisée – EternalBlue – s’y trouve aussi. Ensuite parce qu’il est impératif que la machine n’ait pas été redémarrée une seule fois depuis son infection. Enfin parce que le programme ne fonctionne pas forcément à tous les coups. Le chercheur Matthieu Suiche, que nous avons interrogé en début de semaine, a par exemple indiqué qu'il n'y était pas arrivé.

Le maniement se fait en ligne de commande en passant par cmd.exe. L’ensemble de la procédure est expliqué dans une note sur le dépôt GitHub du chercheur. Notez que Wannakey lui-même ne déchiffre pas les données, mais qu’Adrien Guinet renvoie vers Wannafork pour cette étape une fois que la clé a été récupérée.

Pourquoi Windows XP uniquement ?

Le fonctionnement – partiel – de Wannakey s’appuie en fait sur une différence de fonctionnement de l’API Cyptographic de Windows. Le malware s’en sert en effet pour l’ensemble des opérations de chiffrement, sans chercher à réinventer la roue donc.

Ce qui a rendu WannaCrypt difficile à combattre jusqu’ici, c’est qu’il jette littéralement la clé RSA de chiffrement après utilisation. L’API de Windows ne garde par ailleurs aucune information en mémoire, pour des questions de sécurité. Sous Windows XP par contre, l’ancienne version de l’interface y laisse des traces, particulièrement les nombres premiers générés pour construire la clé. Wannakey est capable de récupérer ces informations.

Ces traces expliquent également pourquoi le programme ne fonctionnera pas à chaque fois. Non seulement la machine ne doit pas avoir été arrêtée ou redémarrée (vidage mémoire), mais il ne faut pas non plus que les données aient été remplacées par d’autres.

Il reste encore du travail

Le fait est que même si Wannakey peut fonctionner sous Windows XP, la grande majorité des postes touchés sont sur des versions plus récentes du système, où les nombres premiers ne restent pas en mémoire. Adrien Guinet a indiqué continuer à travailler sur le déchiffrement des données et tester sa solution sous Windows 10, mais ce dernier n’offre pour l’instant aucune prise de ce côté-là.

Les conseils en cas d’infection restent toujours les mêmes : ne pas payer la rançon et contacter la gendarmerie. Au vu des éléments apportés par le chercheur, on évitera également de redémarrer la machine, ne, serait-ce que pour garder l’espoir d’une solution plus tard.

Commentaires (99)


je vous l’avais bien dit de ne pas mettre à jour depuis Windows XP<img data-src=" />




Ce qui a rendu WannaCrypt difficile à combattre jusqu’ici, c’est qu’il jette littéralement la clé RSA de chiffrement après utilisation.



Comment est-ce qu’il est possible de déchiffrer après paiement alors ?


essayez en le lancant en mode compatibilité <img data-src=" />

<img data-src=" />


Ben justement, il ne déchiffre rien :)


Ils t’envoient la clé après paiement (ou pas s’ils sont vraiment méchants !)


Les premiers retours montrent qu’il n’en est rien (pas les sources sous la main).


c’est explique dans l’article.



La memoire ne se vide pas donc les nombres premiers (la cle en gros) sont toujours dans la RAM du PC.








korgall a écrit :



Comment est-ce qu’il est possible de déchiffrer après paiement alors ?





Certainement qu’elle est envoyee a un C&C qui va la stocker dans une BDD comme tous les malware de ce type.



La clé est donc rapatrié avec un identifiant vers un C2 pour ensuite être délivré si paiement ?



Je n’ai pas vu d’analyse parlant d’un tel système.


euh dans quel sens ? (ils envoient la clé ou t’es fumé ?)


Bon, un fois envoyé les bitcoins, et récupéré la clé de déchiffrement…

Ils envoient aussi le uninstall.exe de leur mer<img data-src=" /> ? <img data-src=" />






  • Each infection generates a new RSA-2048 keypair.

  • The public key is exported as blob and saved to 00000000.pky

  • Each file is encrypted using AES-128-CBC, with a unique AES key per file.

  • Each AES key is generated CryptGenRandom.

  • The AES key is encrypted using the infection specific RSA keypair.





    The RSA public key used to encrypt the infection specific RSA private key is embedded inside the DLL and owned by the ransomware authors.



    Source



    Et pour encore plus de détails : Wannacry DLL ops


https://twitter.com/mikko/status/864107673146490880



apparemment, certains ont réussi à décrypter après paiement..


Ou tu n’as pas compris l’article, ou tu n’as pas compris la question.



D’après les informations qui il y a sur Wannafork, il semblerait que la clé privée utilisée soit cryptée avec la clé publique maitre.

Pour décrypter les données ils faudrait donc envoyer la clé privée cryptée au C&C qui est capable de la décryptée puis qui l’a renverra au poste infectée.



Résumé :




  1. Création d’un jeu de clés privée/publique pour le poste concerné&nbsp;(C’est cette étape qui laisse des trace sous XP permettant de régénérer le jeu de clé privée/publique à nouveau)

  2. Cryptage des données du poste

  3. Cryptage de la clé privée avec la clé publique “maître”



    Décryptage :

  4. Envoie de la clé privée cryptée au C&C

  5. le C&C décrypte la clé privée avec sa clé privée “maître”

  6. la clé privée décryptée est renvoyé au poste infecté



    Bien sur, je ne suis pas expert, n’hésitez pas à me corriger.








TheMyst a écrit :



Ou tu n’as pas compris l’article, ou tu n’as pas compris la question.



D’après les informations qui il y a sur Wannafork, il semblerait que la clé privée utilisée soit cryptée avec la clé publique maitre.

Pour décrypter les données ils faudrait donc envoyer la clé privée cryptée au C&C qui est capable de la décryptée puis qui l’a renverra au poste infectée.



Résumé :




  1. Création d’un jeu de clés privée/publique pour le poste concerné&nbsp;(C’est cette étape qui laisse des trace sous XP permettant de régénérer le jeu de clé privée/publique à nouveau)

  2. Cryptage des données du poste

  3. Cryptage de la clé privée avec la clé publique “maître”



    Décryptage :

  4. Envoie de la clé privée cryptée au C&C

  5. le C&C décrypte la clé privée avec sa clé privée “maître”

  6. la clé privée décryptée est renvoyé au poste infecté



    Bien sur, je ne suis pas expert, n’hésitez pas à me corriger.





    https://chiffrer.info/



Arg, et pourtant je me suis (très rapidement) posé la question.



Bon, j’ai justifié tout ça en bas de mon message précédent :)


On n’a plus les données mais on a encore accès à la commande ?


Tout objet connecté, le rend plus rapidement obsolète le moment venu (désolé mon commentaire deviendra obsolète par la suite, je passe tout de go à ma version 1.1)<img data-src=" />


Cette vague de piratage aura au moins mis en évidence l’absence quasi totale de prise de responsabilités des victimes, un simple HDD externe sur lequel on fait des sauvegardes journalières aurait suffit à régler le problème.








domFreedom a écrit :



Bon, un fois envoyé les bitcoins, et récupéré la clé de déchiffrement…

Ils envoient aussi le uninstall.exe de leur mer<img data-src=" /> ? <img data-src=" />





Non, c’est en fait un abonnement avec tacite reconduction.









brice.wernet a écrit :



Non, c’est en fait un abonnement avec tacite reconduction.







<img data-src=" /> <img data-src=" />



Pas si simple, il faut toujours avoir au moins 2 jeux de sauvegarde.



On a un client qui avait son périphérique de sauvegarde connecté sur le poste, bha le virus a chiffré la sauvegarde …. ( c’était un virus du même genre, je ne sais pas s’il fait ça aussi celui la mais y a de fortes chances pour)








Skywa a écrit :



Pas si simple……

périphérique de sauvegarde connecté sur le poste





&nbsp;Pourtant la solution très simple est là, brancher le HDD en fin de journée pour faire la sauvegarde puis le débrancher et l’emmener avec soi.

Il peut y avoir un incendie ou un vol sur les lieux où se trouve l’ordinateur.



Résumé :




  1. Création d’un jeu de clés RSA privée (dky) / publique (pky) pour le poste concerné.

  2. Pour chaque fichier, création d’une une clé AES et chiffrement du fichier avec cette clé AES.

    Le fichier chiffré possède une entête qui contient la clé AES préalablement chiffrée avec la clé RSA publique du poste (pky).

  3. Sauvegarde sur le disque d’un fichier “eky” qui contient la clé RSA privée du poste (dky) préalablement chiffrée avec la clé RSA publique “maitre”.



    Décryptage :

  4. Envoie du fichier “eky” au CC

  5. le CC déchiffre le fichier “eky” avec sa clé RSA privée “maitre”, récupère la clé RSA privée du poste (dky) et la renvoie au poste infecté

  6. Pour chaque fichier, déchiffrement du fichier =&gt; déchiffrement de la clé AES dans l’entete + déchiffrement du contenu avec la clé AES


Merci Windows XP <img data-src=" />


<img data-src=" />



Le C&C ne stocke pas les clés RSA privées/publiques générées pour chaque PC.



Ces clés sont stockées sur le PC dans un fichier “eky”, ce fichier étant chiffré avec la clé “maitre” du CC.

Il faut envoyer le fichier “eky” au CC qui va le déchiffrer avec sa clé “maitre”, puis renvoyer les clés RSA qui sont contenus dedans.


Et en cas de sinistre touchant le porteur de ton HDD externe ? Et dans le cas d’une grande quantité de données à sauvegarder (et donc le temps de transfert chaque jour) ? etc.



Ta proposition est, pour le coup, le tout premier degré d’une solution de sauvegarde (mais c’est déjà un début, je te l’accorde) et repose énormément sur la rigueur de celui/ceux qui en auront la tâche.



Pour beaucoup de boites (en particulier les TPE), le combo “ouais mais on n’a jamais eu de problème”+ cout d’une vraie solution de sauvegarde* est plutôt fatal à la décision <img data-src=" />



* quand bien même celle-ci ne serait qu’un bête robocopy ou un rsync vers un espace de stockage sur site et un autre en dehors, il y a toujours le cout de la prestation, de l’abo pour le stockage externe, etc.








127.0.0.1 a écrit :



<img data-src=" />



Le C&C ne stocke pas les clés RSA privées/publiques générées pour chaque PC.



Ces clés sont stockées sur le PC dans un fichier “eky”, ce fichier étant chiffré avec la clé “maitre” du CC.

Il faut envoyer le fichier “eky” au CC qui va le déchiffrer avec sa clé “maitre”, puis renvoyer les clés RSA qui sont contenus dedans.





Ah autant pour moi, j’etais persuade de l’inverse. En gros la cle privee du client est contenu dans un fichier qui est chiffree avec la cle publique du groupe responsable et qui possede egalement un serveur de dechiffrement contenant leur cle privee et qui passe par des relais C&C pour la transaction.



Effectivement, c’est plus intelligent et efficace.



De toute maniere, dans tous les cas on est emmerde.



intelligent et efficace, ca se discute: si tu trouves la clé privée “maitre”, tu peux déchiffrer tous les PC de la planète.



Il y a des ransomware plus intelligents qui essayent de contacter le CC pour avoir une autre clé “maitre”. Le CC gère alors un pool de clé maitre qu’il renouvelle de temps a autres.









127.0.0.1 a écrit :



intelligent et efficace, ca se discute: si tu trouves la clé privée “maitre”, tu peux déchiffrer tous les PC de la planète.



Il y a des ransomware plus intelligents qui essayent de contacter le CC pour avoir une autre clé “maitre”. Le CC gère alors un pool de clé maitre qu’il renouvelle de temps a autres.





Certes mais en contrepartie tu augmentes la complexite et par consequent le risque qu’on te remonte. Dans tous les cas je suis toujours emerveille par l’ingeniosite de ces systemes meme si la breche ne casse pas 3 pattes a un canard la ou conficker avait sorti du lourd.



c’est surtout que si les auteurs de Wanacrypt avaient été malins, ils auraient collé un délai d’incubation: au lieu de lancer directement le chiffrement, le ver aurait pu attendre quelques jours (tout en se propageant).

du coup propagation silencieuse, et infection maximale y compris dans les sauvegardes.



<img data-src=" /><img data-src=" /><img data-src=" />


Vous n’êtes quand même pas gênés de conseiller aux victimes de ne pas payer la rançon. Certes, ça encourage ce business illégal, mais peut-être que ces dernières ont des données vitales (genre photos de famille) qu’elles souhaitent récupérer, quitte à lâcher 300e.



Ca me fait penser aux histoires de rançons exigées par les groupes terroristes (toute proportion gardée), facile de se refuser à payer - comme les autorités américaines/UK, lorsque l’on est pas la victime.




Une partie des vieilles machines touchées par le ransomware WannaCrypt

peut être sauvée de la menace, avec un peu de chance et si elles n’ont

pas été redémarrées.





Est-ce que l’on peut porter plainte contre l’ANSSI ?

&nbsp;

De manière préventive, s’il n’est pas possible de mettre à jour un

serveur, il est recommandé de l’isoler, voire de l’éteindre le temps

d’appliquer les mesures nécessaires.








hellmut a écrit :



c’est surtout que si les auteurs de Wanacrypt avaient été malins, ils auraient collé un délai d’incubation: au lieu de lancer directement le chiffrement, le ver aurait pu attendre quelques jours (tout en se propageant).

du coup propagation silencieuse, et infection maximale y compris dans les sauvegardes.



<img data-src=" /><img data-src=" /><img data-src=" />





D’ailleurs si qqn pouvait m’expliquer pourquoi il y a autant de foin autour de ce malware.. Le concept de ransomware n’est pas nouveau et la faille qu’il exploite etait deja connue, a moins qu’un parametre m’echappe, je ne vois pas trop ce qui le differencie de ses semblables.









stilgars a écrit :



Vous n’êtes quand même pas gênés de conseiller aux victimes de ne pas payer la rançon. Certes, ça encourage ce business illégal, mais peut-être que ces dernières ont des données vitales (genre photos de famille) qu’elles souhaitent récupérer, quitte à lâcher 300e.



Ca me fait penser aux histoires de rançons exigées par les groupes terroristes (toute proportion gardée), facile de se refuser à payer - comme les autorités américaines/UK, lorsque l’on est pas la victime.





Enfin la on parle de données, pas de vies humaines…



Ça fait très mal de perdre les photos de famille, c’est sûr, mais ça n’a rien de vital.

A chacun de voir si un une petite chance de revoir ses photos de familles vaut le coup de financer on-sait-pas-qui (potentiellement du crime organisé voire du terrorisme). Sans compter que plus on paie, plus on encourage le business-model.


Contrairement à la plupart (la totalité?) de ses prédécesseurs, il se propage de machine en machine sans action de l’utilisateur.


Tu viens de te réveiller et tu as manqué une partie de l’histoire ?


bah ça fait le buzz parce qu’il utilise un exploit de la NSA.

et parce que ça a touché des hôpitaux.

mais je suis d’accord pour dire que c’est un gros gros buzz pour pas grand chose.


Les innocents payeront encore des actions prises par un groupuscule de criminels,&nbsp; sous l’autel de la corruption et arrangements politico-financiers.



&nbsp;


+1


la conséquence inattendue de ces ransomwares, c’est que de plus en plus de boites commencent à acheter et stocker des bitcoins, ce qui fait augmenter sa valeur. ^^


C’est vrai que +10% en une semaine, c’est vraiment pas mal.


je viens d’aller voir, on est à 1940\(, le BTC était à 1000\) début janvier.

c’est très impressionnant.

et je verse une petite larme en pensant aux BTC qui j’avais acheté 20€ en 2011.

j’aurais du les garder, ces 15BTC, putain. <img data-src=" />


Ça fait à peu près depuis qu’il vaut ~10\( qu'à chaque fois que j'entends parler du bitcoin, je me dis que ça a des bonnes chances de monter, et que je devrais en acheter quelques-uns... Encore en janvier, même après son pic à un peu plus de 1000\)



Mais je l’ai jamais fait, dommage <img data-src=" />


Photo de famille et vitale associé, désolé mais j’ai tiqué un peu …

Y’a quand même de bien meilleurs exemples de données vitales que des photos de famille…


rien

Ce qui fait le plus parlé c’est que la faille exploité à été patch il y a 3 mois, mais que le nombre de victimes reste énorme.

ça montre à quelle point les gens ne prennent pas la sécurité au sérieux.



De plus c’est un événement qui sera sur utiliser pour faire du préventif, type : “z’avez vu le bordel que ça peut faire quand vous mettez pas à jours.” donc faut qu’on en parle.



même si au fond ça reste un ransomware banal dans le fonctionnement.


Oui. Un portefeuille BTC où tu as tout tes économies dessus en revanche… (Bon faudrait être un peu fou pour ne pas avoir de copie, mais on a bien déjà vu le cas de portefeuilles qui ressurgissent de nulle part, alors pourquoi pas.) <img data-src=" />


vive le cloud !


et le Martaud !








Samsara a écrit :



Cette vague de piratage aura au moins mis en évidence l’absence quasi totale de prise de responsabilités des victimes, un simple HDD externe sur lequel on fait des sauvegardes journalières aurait suffit à régler le problème.





A condition de le debrancher, sinon il passe aussi a al moulinette



Tout cela pousse à changer d’ordi et d’os <img data-src=" />








Samsara a écrit :



&nbsp; Pourtant la solution très simple est là, brancher le HDD en fin de journée pour faire la sauvegarde puis le débrancher et l’emmener avec soi. Il peut y avoir un incendie ou un vol sur les lieux où se trouve l’ordinateur.





C’est simple pour toi… Mais je vais te donner deux gros argument qui vont te démontrer que pour un paquet ( une majorité en fait ) ce n’est pas si simple…





  1. Personnellement j’ai 1.2 to de donnée sur ma machine, je peut environ m’assoir sur 400 go de donnée non pertinente… J’ai un disque dur externe de 1to, dessus je&nbsp; peut sauvegarder entièrement mon petit ssd système ( win + soft ) et quasiment la totalité de mon 1to fragmenté en deux partition.



    En théorie c’est pas assez je devrais avoir 2 disques externes et encore même avec ça j’ai encore le portable à sauvegarder donc je rajoute 2 disque de 1 to. J’ai aussi un petit espace de stockage sur mon serveurs histoire d’avoir une sauvegarde de mes fichier vraiment critique, heureusement j’ai la fibre !



    Mais en faisant l’addition ça devrait me couter au bas mot 400€ pour tout sauvegarder de manière convenable, c’est vraiment cher, et si mon système crash je devrais passer un temps fou à tout réinstaller ce qui indirectement m’amène au point numéro 2…



  2. La facilité de sauvegarder / restaurer… Je suis loin d’être un noob en informatique pourtant j’ai pas vraiment trouvé la solution ultime de sauvegarde… Alors je n’imagine même pas pour les noobs… Pour le moment j’utilise cobian backup avec sauvegarde différentielle pour gagner du temps et même avec ça c’est très très lent… En moyenne ça mouline bien facilement 2h à chaque fois que je veut faire un sauvegarde.



    Le jours ou j’ai un crash je devrait formater et tout réinstaller donc oui j’ai sauvegarde mais je perdrais énormément de temps. Dans l’absolu je préférerais avoir une image du disque dur avec ou sans donnée non importante, sauf que aucun soft ne peut faire de la sauvegarde différentielle, donc c’est très long.



    Beaucoup de gens parlent de la sauvegarde mais je voit rarement des articles expliquer comment ça fonctionne, c’est du débrouiller vous… Le grand publique est donc complètement largué et la plupart du temps ça ce finit à coup de copier coller sous windows et ça met des plombes.





    D’ailleurs si vous connaissez un software gratuit pour faire des images d’une partie d’un dur pour facilité la restauration, qui possède un mode différentiel et une fois sauvegarde faite qu’ont puisse extraire facilement des données, n’hésitez pas à donner des noms !



WannaKiwi apporte le support de 2003, Vista et 2008 :&nbsphttp://blogmotion.fr/internet/securite/wanakiwi-dechiffrer-wannakey-16005 :)



#cocorico


et que dire de l’ethereum, entre juillet et jusqu’à la fin 2016 il était à 10-15\( , là il est à 124\)



j’ai miné&nbsp; 60eth depuis le mois d’aout, mais j’ai converti la plupart en bitcoin en décembre, juste avant que ça monte… la rage <img data-src=" />



&nbsp;bon au moins le btc monte aussi… mais c’est pas du x10 non plus


C’est fou que les gens ne savent pas lâcher leur connexion en fin de vie de leur machine. Aujourd’hui la connexion pour tout est une aberration commerciale. Dire qu’un nouveau PC est plus rapide, certes, mais ses mises à jour ont tendance à ralentir le PC avec le temps, à cause d’une évolution effrénée des nouvelles ressources passée de A à B et l’obsolescence passe du galop au trot avec ces mises à jour successives.

Mon C64 était arrivé à sa pleine vitesse en fin de vie (par une programmation plus fine), et ça marche toujours nickel avec les possibilités de la machine. Aujourd’hui sur les objets connectés en fin de vie, les multiples rustines rendent ceux-ci plus lent qu’aux moment de l’ achat ou à l’achat d’un nouvel OS (Mettre un nouvel OS sur son ancienne machine est une stupidité en en pensant que ça va aller plus vite, certes peut-être un peu mieux au départ, mais on déchante très vite)<img data-src=" />








2show7 a écrit :



(Mettre un nouveau Windows, Mac OS, Android,&nbsp; sur son ancienne machine est une stupidité en en pensant que ça va aller plus vite, certes peut-être un peu mieux au départ, mais on déchante très vite)<img data-src=" />




&nbsp;&nbsp;





<img data-src=" />



 Pas forcément sous Linux <img data-src=">  





Edit : nouvel OS









Jeanprofite a écrit :



<img data-src=" />

Pas forcément sous Linux <img data-src=" />







Mon vieux PC portable, un Intel core Solo T1350 à 1.86 GHz tient à la limite avec Linux Mint, ça rame de plus en plus <img data-src=" /> (avec le navigateur, principalement) ;)



la “solution”, c’est la sauvegarde cloud. il y a deux types d’offres :

&nbsp;- nombre de poste illimités mais quantitées de données limitées (ex spideroak One)




  • nombre de poste limité à 1, mais quantité de données illimitées (ex crashplan)



    enfin, ce n’est pas parfait (besoin bon lien internet + abonnement du genre 10$/mois), mais c’est simple d’utilisation. et ils gardent les différentes versions des fichiers.



    Je déploie ces solutions chez mes clients maintenant, en complément d’une sauvegarde sur site sur disque externe.


Oui les états, comme la france sont des putes.

Ils font genre, on ne paye jamais de rançon, mais en réalité il y a des millions d’euros qui passent en valise et qui alimentent ce business horrible.

Il y a des preuves sur plusieurs affaires, mais ça reste toujours bien discret.




Attention, les conditions sont les mêmes que pour Wannakey : la machine ne doit pas avoir été redémarrée, et l’outil doit être exécuté aussi vite que possible.





Ce qui reste peu probable chez Mr/Mme ToutLeMonde, la première réaction étant “C’est quoi ce message d’erreur ? Pourquoi ca marche pas ? … je vais redémarrer, ca ira mieux”.


Ou chez l’informaticien moyen sous Windows “dans le doute reboote”&nbsp;<img data-src=" />


mets les perfs graphiques de cinnamone au mini, ou change d’interface graphique… Il n’y &nbsp;a pas de miracle, ce sera de toutes façons lent, avec les pages web de plus en plus lourde, ça n’aide pas…. :/








billylebegue a écrit :



“dans le doute reboote”&nbsp;<img data-src=" />





“si ça rate, formate”<img data-src=" />









skankhunt42 a écrit :



D’ailleurs si vous connaissez un software gratuit pour faire des images d’une partie d’un dur pour facilité la restauration, qui possède un mode différentiel et une fois sauvegarde faite qu’ont puisse extraire facilement des données, n’hésitez pas à donner des noms !






  syncback       

gratuit plein d'option et encore plus d'option si tu prend le payant.

Moi j'en suis content.

Je m'en sers pour sauvegarder mon nas.



edit : j’ai essayé des “vrai” logiciel de sauvegarde. La sauvegarde est lente, la restauration est lente…




 Maintenant le fait est qu'il a raison.       

Faire une sauvegarde et laisser le disque branché en permanence ça sert pas à grand chose... wannacrypt c'est un tout petit risque, tu peux subir un dégat électrique, un vol, une panne de plusieurs disque en série (ca arrive)

Dans l'idéal un particulier devrait faire sa sauvegarde et mettre le disque ailleurs ensuite.

Tu es pas obligé de tout sauvegarder non plus.&nbsp; Et un disque de 3to ça coute 100-120 euro ? Et suivant ce que tu as à sauvegarder tu peux sans doute passer sur un 1 to voire moins (50 euro ?)






 Et pour un pro ou semi-pro c'est pas idéal.       

C'est OBLIGATOIRE d'avoir une sauvegarde déportée !

&nbsp;La ludothèque de ma ville a subi un vol. Le pc a été volé. Ouf disque de sauvegarde !

Oups il a été volé en même temps...






 Un architecte à Rennes, vol de son pc : il a perdu 5 ans de boulot.... pas de sauvegarde...








Paladin_Fr a écrit :



syncback



 gratuit plein d'option et encore plus d'option si tu prend le payant.       

Moi j'en suis content.

Je m'en sers pour sauvegarder mon nas.



edit : j’ai essayé des “vrai” logiciel de sauvegarde. La sauvegarde est lente, la restauration est lente…




 Maintenant le fait est qu'il a raison.       

Faire une sauvegarde et laisser le disque branché en permanence ça sert pas à grand chose... wannacrypt c'est un tout petit risque, tu peux subir un dégat électrique, un vol, une panne de plusieurs disque en série (ca arrive)

Dans l'idéal un particulier devrait faire sa sauvegarde et mettre le disque ailleurs ensuite.

Tu es pas obligé de tout sauvegarder non plus.  Et un disque de 3to ça coute 100-120 euro ? Et suivant ce que tu as à sauvegarder tu peux sans doute passer sur un 1 to voire moins (50 euro ?)






 Et pour un pro ou semi-pro c'est pas idéal.       

C'est OBLIGATOIRE d'avoir une sauvegarde déportée !

 La ludothèque de ma ville a subi un vol. Le pc a été volé. Ouf disque de sauvegarde !

Oups il a été volé en même temps...






 Un architecte à Rennes, vol de son pc : il a perdu 5 ans de boulot.... pas de sauvegarde...









De mes petits 20 ans d’expérience, que ce soit pour des pros, semi-pros ou particulier, en général les gens ne font pas de sauvegarde parce que pas le temps/pas les moyen d’acheter un disque externe, jusqu’au drame et là ils regrettent.



trop tard pour éditer

je repense à l’architecte…. le voleur qui a piqué son pc est entièrement responsable bien sur. Et l’archi a fait un appel pour lui demander de lui rendre les données car c’était 5 ans de sa vie.

Mais il aurait fait quoi si sa machine avait rendu l’âme ? Pris une surtension électrique ? une inondation ? un incendie ?

wannacrypt et un vol c’est finalement le moins pire car tu as un espoir de récupérer tes données…








tpeg5stan a écrit :



mets les perfs graphiques de cinnamone au mini, ou change d’interface graphique… Il n’y  a pas de miracle, ce sera de toutes façons lent, avec les pages web de plus en plus lourde, ça n’aide pas…. :/







J’ai cinnamon (par préférence). Pour du Traitement de texte, c’est suffisant <img data-src=" />









darkbeast a écrit :



De mes petits 20 ans d’expérience, que ce soit pour des pros, semi-pros ou particulier, en général les gens ne font pas de sauvegarde parce que pas le temps/pas les moyen d’acheter un disque externe, jusqu’au drame et là ils regrettent.





surtout temps et inconscience je pense car pour 100 euro tu peux te bricoler un truc qui t’assure un minimum de sécurité (suffit d’amener le disque au bureau le jour de la sauvegarde et de le ramener chez toi ensuite)









Paladin_Fr a écrit :



surtout temps et inconscience je pense car pour 100 euro tu peux te bricoler un truc qui t’assure un minimum de sécurité (suffit d’amener le disque au bureau le jour de la sauvegarde et de le ramener chez toi ensuite)







Ouais mais bon c’est tellement plus sympa de perdre sa thèse/ son projet à présenter le lendemain, plutôt que de perdre 10 minutes par jour pour sauvegarder.



d’un autre côté c’est difficile de dire “pas de rançon” et en même temps “libérez les otages”. ^^


Et si le virus se déclenche quand le disque USB de sauvegarde est branché ? Et là c’est le drame…



A moins que tu aies une station de copie “externe” (insensible au virus).

Si on ajoute que, vu la fiabilité, il faut faire les sauvegardes sur au moins 2 disques.

Que si le virus est vicieux il peut commencer à crypter des fichiers des jours avant de se signaler (ce qui oblige à avoir d’autant plus de disques et à faire des sauvegardes différentielles)



Bref sauvegarder sur un seul disque c’est mieux que rien mais ce n’est quand même qu’un embryon de réponse.

&nbsp;&nbsp;

&nbsp;








tpeg5stan a écrit :



“si ça rate, formate”<img data-src=" />







“si ça pète, rachète”









v1nce a écrit :



Et si le virus se déclenche quand le disque USB de sauvegarde est branché ? Et là c’est le drame…





Putain de pute ça serais vraiment très très pute comme manière d’agir… if disk name = “backup^ || disk name == “” + software name “backup.exe” &gt; virus : on. Après si le virus est “clasique” il ne faut pas avoir de bol pour ce faire infecter pendant que l’ont effectue une sauvegarde :/ Le mieux serais de débrancher le disque avant de faire une sauvegarde et d’avoir un disque en double. Car au passage, un disque dur de sauvegarde peut tomber en panne.



&nbsp;



Donc en gros, si on avait le malheur d’avoir un périphérique USB de stockage, celui-ci était aussi crypté par cette merde ??

Enfin, si j’ai bien compris, j’avoue être à la rue dans ce domaine.


Je ne sais pas pour ce ransomware là, mais il y en a qui se limitaient au profil de l’utilisateur, d’autre aux disques locaux et finalement, certains exploraient tout, y compris les partages réseaux…



Donc dans tous les cas : méfiance.








skankhunt42 a écrit :



Putain de pute ça serais vraiment très très pute comme manière d’agir… if disk name = “backup^ || disk name == “” + software name “backup.exe” &gt; virus : on. Après si le virus est “clasique” il ne faut pas avoir de bol pour ce faire infecter pendant que l’ont effectue une sauvegarde :/ Le mieux serais de débrancher le disque avant de faire une sauvegarde et d’avoir un disque en double. Car au passage, un disque dur de sauvegarde peut tomber en panne.







Il y a peu de chance que ca arrive SI la machine est hors réseau (attaque smb) ou si l’utilisateur n’ouvre pas de pièce jointe betement <img data-src=" />



D’accord, je comprends mieux, merci.








CryoGen a écrit :



Je ne sais pas pour ce ransomware là, mais il y en a qui se limitaient au profil de l’utilisateur, d’autre aux disques locaux et finalement, certains exploraient tout, y compris les partages réseaux…



Donc dans tous les cas : méfiance.





Au boulot, le seul qu’on a eu s’est attaqué au disque local de la personne et aux dossiers réseau où elle avait des accès en écriture. (on a active directory sur windows server 2008)



Si win7est touché, cela ne m’étonne plus qu’il ait des problèmes de màj récalcitrantes (Windows aime l’obsolescence avec menaces, ça l’amuse, Linux est là)


Suite,



Même si ce n’est intentionnel. Il est le premier à avoir prononcé les difficultés que paurraient rencontrer Win 7 au moment d’avoir voulu imposer Win 10


Il ne faut pas oublier que win 7 est toujours un OS très répendu (pas “intentionnel” dans mon précédant message)


tiens ça me fait penser à une saleté qu’une collègue m’avait apportée (récupérée à l’école de son fils)

Quand tu branchais une clé USB (probablement un disque aussi…), ça planquait tous les fichiers présents sur le média amovible et ça les remplaçait par un raccourci + ça infectait la machine pour qu’elle refile la chtouille aux prochaines clés qu’on brancherait (mis à part le process qui réalisait ces joyeuseté, le poste ne présentait aucun comportement bizarre - pas de ralentissement, de popup ou autre.)



(ça m’avait fait gagner une boite de ferrero/raphaelo ♥ )








korgall a écrit :



Le vendredi 19 mai 2017 à 12:26:51

Comment est-ce qu’il est possible de déchiffrer après paiement alors ?





Il n’ y a pas de système tout simplement. Pourquoi déchiffrer alors que l’opération est réussie.

A moins qu’il y a doute !!









skankhunt42 a écrit :



C’est simple pour toi… Mais je vais te donner deux gros argument qui vont te démontrer que pour un paquet ( une majorité en fait ) ce n’est pas si simple…

[…]



Beaucoup de gens parlent de la sauvegarde mais je voit rarement des articles expliquer comment ça fonctionne, c’est du débrouiller vous… Le grand publique est donc complètement largué et la plupart du temps ça ce finit à coup de copier coller sous windows et ça met des plombes.





D’ailleurs si vous connaissez un software gratuit pour faire des images d’une partie d’un dur pour facilité la restauration, qui possède un mode différentiel et une fois sauvegarde faite qu’ont puisse extraire facilement des données, n’hésitez pas à donner des noms !







Mais je trouve que justement le copié-coller avec classement de ce que tu backup est bien la meilleure des solutions.

Pour ma part, j’ai 3 disques de backup qui me servent à backup toutes mes machines.

Je n’utilise pas ce logiciel de backup. Je le fais à la main. Je range et classe correctement mes fichiers à l’origine ce qui permet de les copier facilement lors du backup.

De plus, ca permet de faire un classement et nettoyage supplémentaire lors du backup et de limiter la taille prise à cause de la masse de fichiers inutiles qui sont téléchargés et générés lors de l’utilisation quotidienne des ordinateurs (Téléchargement d’images, de mêmes pour reupload sur des canaux de discussions privées, bons de livraisons, fichiers exe temporaire, docs temporaires etc ….)



Du coup, je trouve qu’il n’est pas forcement adéquate, de mon point de vue, il suffit d’être organisé dès le départ et utiliser la méthode la plus simple.









skankhunt42 a écrit :



D’ailleurs si vous connaissez un software gratuit pour faire des images d’une partie d’un dur pour facilité la restauration, qui possède un mode différentiel et une fois sauvegarde faite qu’ont puisse extraire facilement des données, n’hésitez pas à donner des noms !





Je me sert de veeam endpoint backup pour faire les images des postes au boulot (et on a aussi la version payante pour faire les sauvegardes serveur) :

https://www.veeam.com/fr/windows-endpoint-server-backup-free.html



Tu peux faire une sauvegarde partielle ou totale, de l’incrémental, ils utilisent la déduplication de données pour gagner de la place et tu as aussi un iso de recovery pour pouvoir booter sur clé usb / cd si problème ou nécessité de restauration.

&nbsp;Je viens d’ailleurs de voir que la nouvelle version gratuite amène aussi la possibilité de planifier directement la sauvegarde et gère les vm instantannées



Ta remarque ne concerne que les particuliers et encore si le HDD est branché au PC pendant le chiffrement te l’as dans l’os bien profond. On est pas dans un monde ou tous les ordinateurs n’ont qu’un utilisateur bien défini…



Des PC il y en a partout, on ne pas demander à la caissière (ou le caissier) de la cafétéria de ramener son disque dur pour faire un backup de l’ordi qui se cache derrière sa caisse.



Même chose dans un hôpital. Il y a 2 ou 3 ordinateurs par desk avec au total une dizaine d’utilisateurs (oui ça tourne H24). La sauvegarde automatique via réseau n’est peu être pas le moyen le plus sûr mais c’est le seul moyen de gérer un grand parc de PC.&nbsp;








2show7 a écrit :



C’est fou que les gens ne savent pas lâcher leur connexion en fin de vie de leur machine. (…)

&nbsp;Mettre un nouvel OS sur son ancienne machine est une stupidité en en pensant que ça va aller plus vite, certes peut-être un peu mieux au départ, mais on déchante très vite&nbsp;





AMHA, la fin de vie d une machine est définie par la fin de support de son OS.

Là dessus, je suis d’accord sur la connexion: un OS non supporté ne devrait pas être connecté.



&nbsp;(sauf que ds le cas de wannacrypt, il semblerait que la majorité des victimes soient sous win7, je soupçonne fortement des soucis ds l IT des entreprises plutôt que chez les particuliers: réseau/firewall mal configurés et patchs pas déployé rapidement)



Mais on peut prolonger la vie d une machine en changeant d OS et ce de manière positive: un vieux PC type Athlon64 avec 1 ou 2 GB de RAM qui a 10-12 ans peut tourner très bien sous un Linux light type Lubuntu 14.04 ou 16.04 et bcp mieux qu avec le Windows XP d origine!

Certes, pour le web, on voit alors combien les pages sont devenues lourdes. Mais pou un petit usage bureautique familial, cela reste largement utilisable.



J’ai connu ça là où je travaille et pour éviter de rencontrer ce genre de problème, j’ai déployé la clé de registre suivante afin de désactiver toute exécution automatique du fichier autorun.inf :



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@=“@SYS:FileDoesNotExist”



“FileDoesNotExist” est du texte qui peut être remplacé par n’importe quoi d’autre.


Il faut partir du principe que n’importe quelle unité de stockage accessible en écriture pourra et sera chiffrée.


Au boulot (et d’ailleurs on a pas été touché par ce virus sur les pc bureau tique en tout cas), on a une sauvegarde cloud








tibibs a écrit :



c’est explique dans l’article.



La memoire ne se vide pas donc les nombres premiers (la cle en gros) sont toujours dans la RAM du PC.





alors faut la sortir et la remplacer



Pas besoin de tester quoi que ce soit. Tu infectes tous les volumes qui sont connectés. Si tu travailles 7h00 par jour et qu’il te faut 1h00 pour faire une sauvegarde totale (usb2…) tu vois que la probabilité d’avoir des fichiers vérolés est déjà très élevée. Soit parce que le cryptage va se déclencher pendant la période ou le disque est branché. Soit parce que le cryptage a déjà eu lieu sur le disque maître (mais qu’il est encore passé inaperçu) et que tu recopies des fichiers vérolés.








127.0.0.1 a écrit :



“si ça pète, rachète”







Et si t’en a raz le cux, passe à Linux.