Le mode opératoire est identique que l’attaque de mai dernier du ransomware WannaCry. Le virus s’attrape généralement par une pièce-jointe dans un mail en apparence propre. Cela peut être un faux message de votre banque, une livraison de colis UPS ou un document scanné et envoyé d’un copieur d’entreprise. Ensuite, le code malicieux va verrouiller tous les fichiers de votre ordinateur et ceux du réseau, si le PC a accès à des partages sur des serveurs. C’est ainsi qu’en entreprise, écoles et administrations, la menace se propage très rapidement et cause des dégâts considérables, rendant inopérant tout le parc du système informatique.
Ensuite, un message s’affiche indiquant que vous êtes la cible d’un rançongiciel et qu’il faut payer 300$ pour récupérer ses fichiers. D’une, il n’est pas certain que payer la rançon permette de récupérer vos fichiers. Deuxièmement, les pirates ne vont pas se gêner pour vous extorquer davantage de bitcoin, puisque vous avez bien payé une fois donc pourquoi pas une seconde. De plus, cela encouragerait d’autres hackers, il est donc éthiquement déconseillé de payer, d’autant plus que les retours d’expériences prouvent que la récupération des fichiers sains ne se fait quasiment jamais, même après avoir payé la rançon dans les règles.
La bonne protection contre Petya et autres menaces équivalentes
Malgré les apparences, le vieux système Windows XP est encore largement utilisé dans le monde entier. Que ce soit chez des particuliers mais surtout dans des entreprises où ils gèrent encore des machines de production, des distributeurs d’argent, etc. Encore beaucoup de Windows XP dans la nature et ceux-ci ne sont plus mis à jour par Microsoft depuis 2014.
Malheureusement, le virus ransomware WannaCry touche Windows XP. Et sans mise à jour Windows Update, comment faire ? Microsoft a exceptionnellement publié un correctif pour protéger tous les ordinateurs qui tournent encore avec XP.
Il s’agit de la mise à jour de sécurité KB4012598 qui n’est pas disponible par Windows Update mais uniquement au téléchargement sur le site Microsoft, dont voici les liens directs.
Pour le déployer en ligne de commande, on peut utiliser les commutateurs suivants :
/passive : installation silencieuse sans action de l’utilisateur pour valider la mise à jour
/warnrestart : affiche un message à l’écran pour avertir du redémarrage sous 30 secondes
Ainsi, le réseau complet sera protégé contre WCry et ses variantes. Cela n’empêche pas d’utiliser un logiciel antivirus pour sécuriser les machines Windows XP.
Le ransomware WannaCry / WCry / WannaCrypt touche aussi les ordinateurs sous Windows 7, comme les postes sous Windows 8, Windows Server et même le vieux Windows XP. Bien qu’ayant profité de centaines de mises à jour depuis sa sortie, Windows 7 n’est pas infaillible et le plus répandu des Windows doit aussi être patché pour éviter d’être infecté par le logiciel de rançon, une sorte de virus qui verrouille les fichiers de l’ordinateur.
Comme pour les autres versions du système d’exploitation de Microsoft, il est recommandé d’activer les mises à jour automatiques de Windows 7 pour recevoir automatiquement les derniers correctifs. Cela passe par Windows Update ou via un serveur WSUS en entreprise.
Cette procédure concerne uniquement Windows 7 Service Pack 1. Sorti en mars 2011, le SP1 devrait être déjà installé sur toutes les machines équipées de Windows 7. Les autres ne sont plus maintenues par Microsoft depuis un bon moment déjà.
Voir aussi l’astuce du Windows 7 SP2 pour installer un W7 à jour, sans perdre des heures sur Windows Update.
Télécharger l’un de ces deux paquets, selon l’architecture du système d’exploitation :
Windows 7 en 64 bits : Mise à jour qualitative de sécurité uniquement pour Windows 7 pour les systèmes basés sur x64 (KB4012212) – mars 2017
Windows 7 en 32 bits / x86 : Mise à jour qualitative de sécurité uniquement pour Windows 7 (KB4012212) – mars 2017
Il s’agit là uniquement du patch pour corriger la faille utilisée par le virus ransomware WannaCry mais qui n’exclut pas de rechercher les dernières mises à jour système par Windows Update.
Télécharger le pack de mise à jour pour Windows 7
Depuis quelques mois, Microsoft propose des packs de mises à jour qui cumulent les correctifs sortis depuis le début. Inutile donc d’installer 150 mises à jour puisque ce « rollup » inclut déjà tous les paquets. Cela évite aussi d’installer une mise à jour qui est ensuite remplacée par un autre KB, plus récent ou qui corrige un autre problème du même composant.
A date du virus WannaCry, c’est le correctif de mai 2017 qui est le plus récent disponible (KB4019264).
Les serveurs Windows ne sont pas épargnés par le ransomware WannaCry. S’il est recommandé de protéger les serveurs avec un antivirus et un pare-feu (logiciel ou matériel), il faudra installer les dernières mises à jour Windows Update ou appliquer un patch spécialement fabriqué par Microsoft.
WannaCry et Windows Server 2016
Comme Windows 10, Windows Server 2016 n’est pas directement impacté par WCry car la faille de sécurité n’existe pas sur cette version du système d’exploitation. Mais il est conseillé de télécharger les mises à jour les plus récentes pour se prémunir contre d’autres menaces.
1. Ouvrir le menu Démarrer, Paramètres (icône de roue dentée).
2. Icône « Mise à jour et sécurité »
3. Choisir « Windows Update » dans le menu de gauche et vérifier s’il y a des mises à jour en attente.
WannaCry et Windows Server 2012 R2
Windows Server 2012 R2 est susceptible d’être victime du ransomware WCry. Pour empêcher cette situation, télécharger ce correctif pour appliquer les mises à jour de Windows Update.
Mise à jour qualitative de sécurité uniquement pour Windows Server 2012 R2 (KB4012213) – mars 2017
WannaCry et Windows Server 2012
Le correctif KB 4012214 protège WS2012 contre le virus WannaCry mais il est recommandé d’installer toutes les mises à jours importantes en attente.
Mise à jour qualitative de sécurité uniquement pour Windows Server 2012 (KB4012214) – mars 2017
WannaCry et Windows Server 2008 R2
La version la plus courant de Windows Server, à savoir 2008 R2, doit aussi être protégé contre le logiciel de rançon. Il faudra déjà avoir le SP1 sur cet OS. Là aussi, les rollups mensuels sont à privilégier, à retrouver sur Windows Update.
March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212)
WannaCry et Windows Server 2008
Windows Server 2008 est aussi menacé et voici le correctif à installer sur WS2008 SP2, édition Standard, Entreprise ou Datacenter.
Mise à jour de sécurité pour Windows Server 2008 pour ordinateurs à processeur x64 (KB4012598)
WannaCry et Windows Server 2003 / R2
Aussi vieux que Windows XP et plus maintenu, Microsoft partage un correctif spécial pour Windows Server 2003, le KB4012598.
L’attaque mondiale qui touche les ordinateurs Windows, sous le nom de Wanna Cry, est un virus de type ransomware qui verrouille les fichiers de l’ordinateur et demande une rançon (voir les détails sur cette page). Il est important de bien protéger son PC pour éviter de perdre des fichiers personnels, que ce soient des documents de bureautique, des photos ou des bases de données puisque ce type de menace touche aussi bien les particuliers que les professionnels.
Si les systèmes d’exploitation concernés par WannaCry ne sont que des versions de Windows (pas de Mac ni de Linux), toutes les versions de Windows ne sont pas impactées. Ainsi, Windows 10 n’est pas une cible de cette attaque WannaCry mais ça n’exclut pas que cette version ne soit pas visée par une prochaine menace.
Protéger un PC Windows 10 contre WannaCry
Comme dit ci-dessus, Windows 10 n’est pas ciblé par le ransomware WCry donc il n’est pas nécessaire de télécharger et installer un correctif pour se protéger de la menace WannaCry.
Mais cela n’empêche pas de vérifier les mises à jour de Windows 10 pour se protéger des autres failles de sécurité et pour être certain d’avoir les derniers correctifs mis à disposition par Microsoft. Au moins une fois par mois, l’éditeur livre une série de patchs pour corriger, ajouter ou modifier des fonctionnalités de Windows. Ces mises à jour sont vivement conseillées pour garder un système d’exploitation à jour et donc mieux protégé.
Vérifier les mises à jour Windows 10
1. Ouvrir le menu Démarrer et cliquer sur l’icône de roue dentée pour ouvrir les Paramètres :
2. Choisir « Mise à jour et sécurité » :
3. A gauche, cliquer sur « Windows Update » :
4. Vérifier l’état des mises à jour du système :
Si la date de dernière vérification est trop ancienne, cliquer sur « Rechercher des mises à jour » et installer ce qui est proposé.
Ne pas oublier l’antivirus
Il est également recommandé de vérifier les mises à jour du logiciel antivirus. Que ce soit Windows Defender, l’antivirus gratuit livré avec Windows 10, ou l’application d’une société spécialisée (Avast, Norton, McAfee…), tous les antivirus sont en mode « mise à jour automatique » pour télécharger régulièrement les dernières protections contre les virus.
Pour se protéger du virus ransomware WannaCry qui a fait des dégâts considérables dans le monde entier, aussi bien dans de grandes entreprises (Renault, FedEx, des hôpitaux…) que chez des particuliers (par centaines de milliers), la solution pour sécuriser son ordinateur est toute simple. Cette méthode est valable pour le logiciel de rançon WCry mais aussi les autres menaces d’internet (virus, piratage…) et tout simplement pour garder son ordinateur à jour.
Ces patchs sont simplement des mises à jour Windows à télécharger et à installer à la main, le plus simple étant de faire les mises à jour via Windows Update. Le tout reste gratuit, comme d’habitude pour ce genre de correctifs.
Télécharger l’un de ces deux paquets, selon l’architecture du système :
Mise à jour qualitative de sécurité uniquement pour Windows 8.1 (KB4012213) – mars 2017
Mise à jour qualitative de sécurité uniquement pour Windows 8.1 pour les systèmes basés sur x64 (KB4012213) – mars 2017
Cela ne remplace par une mise à jour complète du système via Windows Update.
Pour Windows 8 en 32 et 64 bits
Windows 8 « tout court » n’est plus maintenu par Microsoft, il faut faire la mise à niveau vers 8.1 ou migrer vers Windows 10. Cependant, un patch a tout de même été créé pour les systèmes Windows 8.
Mise à jour de sécurité pour Windows 8 pour ordinateurs à processeur x64 (KB4012598)
Mise à jour de sécurité pour Windows 8 (KB4012598) – c’est-à-dire en 32 bits / x86
Comment se protéger de WannaCry en automatique
Pour ne pas s’embêter avec tout ça, il suffit de faire les mises à jour du système Windows, vérifier son antivirus et effectuer des sauvegardes régulières de ses documents, comme indiqué sur cette page. Il est recommandé d’activer les « mises à jour automatiques » de Windows afin que tout se fasse en arrière plan, sans action manuelle de la part de l’utilisateur du PC.
C’est l’actualité informatique du week-end : un ransomware nommé Wanna Cry a causé une cyberattaque mondiale infectant plus de 500 000 ordinateurs, de particuliers comme d’entreprises. Des entreprises aussi renommées que Renault, un opérateur de téléphonie en Espagne, le ministère de l’intérieur russe, des banques, des universités, des distributeurs d’argent, un aéroport ou des hôpitaux ont été touchés, entrainant la mise hors service du réseau informatique et donc de la production (la chaine de fabrication des Renault à Sandouville et à Batilly a dû être arrêtée). Vodafone, FedEx et le National Health Service ont aussi été touchés.
Le ransomware (logiciel de rançon ou rançongiciel) demandera de payer une somme d’argent pour déverrouiller vos fichiers stockés sur l’ordinateur et le réseau. Et ce n’est pas forcément en payant qu’on retrouvera ses fichiers…
Comment s’attrape le virus
C’est généralement par un mail avec pièce-jointe que ce genre de pollution infecte un ordinateur. L’expéditeur du message peut être un inconnu ou le nom d’un proche dont l’identité a été usurpée. Souvent, le mail ressemble à du phishing (hameçonnage) et peut imiter le courriel d’une banque, EDF ou un opérateur téléphonique. En pièce-jointe, une (fausse) facture ou un (faux) document scanné qui contient un « virus » (virus est entre guillemets car ce n’est pas à proprement dit un virus et le logiciel antivirus n’y pourra rien). Vous ouvrez la fausse facture, au format Word par exemple (aucune entreprise n’envoie de facture au format Word) et un message vous demande d’autoriser les macros. Un clic sur « oui » et c’est la catastrophe qui commence.
Si vous n’avez qu’un seul ordinateur à la maison, vous perdrez au pire les fichiers enregistrés sur celui-ci, mais aussi ceux qui sont stockés sur les disques durs et clés USB qui sont actuellement branchés. Aucun risque sur la clé USB qui traine dans un tiroir, évidemment. Tous vos documents, photos, musiques… seront verrouillés par un mot de passe. Pire pour ceux qui ont plusieurs ordinateurs Windows en réseau. Et que dire des entreprises avec des milliers de postes !
On vous demandera de payer pour récupérer les fichiers en question… mais attention car payer ne signifie pas retrouver à coup sûr vos documents ! Dites-vous que les hackers s’amuseront à demander une seconde rançon puisque le pigeon (vous) aura payé une première fois..
Caractéristiques de WannaCry
On peut parler de virus puisqu’il se propage et nuit à l’ordinateur, néanmoins le logiciel antivirus n’y pourra rien sur ce coup.
WannaCry a plusieurs noms : WannaCrypt, WanaCrypt0r, WCrypt ou encore WCry.
WCry touche les ordinateurs Windows uniquement (pas Linux ni Mac) mais que les vieilles versions, pas Windows 10. Sont donc concernés Windows XP, Vista, 7, 8 et 8.1 ainsi que Windows Server 2003 / R2, 2008 / R2 et 2012 / R2 (pas 2016).
Utilisateurs de Windows 10, vous ne risquez rien pour ce ransomware mais les conseils ci-dessous sont à suivre pour ne pas risquer d’être infecté par une autre menace.
Le ransomware va chiffrer les fichiers de l’ordinateur avec un mot de passe impossible à deviner ou à cracker (clés RSA 2048 et AES-128-ECB).
Il y a donc tout et n’importe quoi : des documents Office (Word, Excel), des vidoés (MP4, AVI), des fichiers de musique (MP3, WAV), des bases de données (SQL, MDB), des machines virtuelles (VMX, VMDK), des images et photos (JPEG, PNG)… Bref, attraper une telle saleté revient à tout perdre de sa vie numérique.
Si votre PC Windows installe tout seul les mises à jour automatiques du système, il n’y a pas lieu de s’inquiéter. Vérifiez tout de même vos mises à jour pour ne rien risquer au sujet de WannaCry.
D’où vient WannaCry
C’est assez cocasse. La NSA (services de renseignement et de surveillance aux Etats-Unis) avait trouvé une faille dans les systèmes d’exploitation Windows. Au lieu d’en informer Microsoft, ils ont exploité ce trou de sécurité pour surveiller des ordinateurs dans le monde entier. Un jour, l’équipe des Shadow Brokers a trouvé et diffusé publiquement les outils utilisés par la NSA pour surveiller un peu tout le monde. Microsoft a réagi en publiant une mise à jour de sécurité courant mars 2017. Mais depuis vendredi 12 mai 2017, une nouvelle menace utilise cette faille pour contaminer des centaines de milliers d’ordinateurs.
Comment s’affiche le ransomware Wanna Cry
Le ransomware WannaCry s’affiche sous la forme d’un écran rouge avec compte à rebours et une notice pour donner de l’argent aux pirates (sans toutefois s’assurer de récupérer ses fichiers).
Comment se protéger du ransomware WannaCry
Les priorités :
Installer les dernières mises à jour système Windows
Installer les dernières mises à jour du logiciel antivirus
Installer les dernières versions des logiciels (Office, Acrobat Reader, VLC…)
Et surtout faire des sauvegardes régulières et déconnectées (disque dur rangé dans un tiroir, par exemple, car un NAS toujours connecté au réseau sera aussi contaminé).
Ces règles ne concernent pas uniquement WannaCry mais doivent être appliquées au quotidien. Un système d’exploitation et les logiciels qui l’accompagnent ne sont pas infaillibles et peuvent contenir des trous de sécurité. Les mises à jour existent pour combler ces failles et corriger les problèmes potentiels.
Un ordinateur Windows n’est pas plus sensible qu’un Mac ou qu’un Linux. Seulement, avec des parts de marché aussi importantes, il est plus rentable pour un pirate d’attaquer le système Microsoft pour toucher un maximum de gens.
Un système d’exploitation à jour + un antivirus à jour + aucun logiciel cracké + des sauvegardes régulières = aucun risque de se retrouver informatiquement paralysé.
Les logiciels malveillants de type ransomware sont actuellement la menace la plus dangereuse pour les particuliers et les entreprises. Cette sorte de virus va verrouiller des fichiers sur l’ordinateur, le serveur et/ou le réseau complet pour empêcher les utilisateurs d’accéder à leurs données. Que ce soient des photos personnelles, des documents de travail ou toutes les données informatisées d’une entreprise, le principe est toujours le même : une rançon est demandée pour récupérer ses fichiers. Généralement, ces ransomwares verrouillent les documents de bureautique (Word, Excel, etc), les photos, la musique, les vidéos, les exécutables (.exe), etc.
Malheureusement, aucun logiciel antiransomware n’existe. C’est généralement par une fausse pièce-jointe reçue par mail que l’ordinateur est infecté. Un programme malveillant type cheval de Troie (trojan) s’installe sur l’ordinateur et commence à verrouiller les fichiers, comme s’il bloquait tous les fichiers par un mot de passe que vous ne connaissez pas.
Puis un message s’affiche à l’écran, demandant de payer pour débloquer les fichiers. Le rançongiciel peut demander un virement bancaire, une transaction PayPal, des SMS surtaxés et plus généralement l’achat de monnaie virtuelle Bitcoin, s’assurant au passage l’anonymat en demandant de passer par Tor, l’ « internet anonyme » permettant ainsi de masquer l’identité des hackers.
Problème, payer n’assure pas de récupérer ses fichiers et le verrou peut persister. Pire, les pirates derrière ce logiciel de rançon ont compris que vous sortez facilement votre porte monnaie et vont en profiter pour vous faire débourser des sommes plus importantes.
Il n’y a jamais eu de remède contre les ransomwares, mis à part disposer de sauvegardes décentralisées. Pourquoi ? Car si les sauvegardes se font sur un disque dur USB ou un NAS en réseau qui est continuellement raccordé à l’ordinateur, le ransomware va chiffrer les fichiers présents sur ces disques. Les solutions viables sont d’avoir des sauvegardes déconnectées (un disque dur dans un tiroir) ou une solution de sauvegarde en ligne type Dropbox avec historique des versions. Ainsi, même si la dernière version du fichier est verrouillée et est copiée dans le cloud, l’historique permettra de revenir sur une version propre des fichiers.
Les plus connus de ces logiciels de rançon sont Locky, Cerber, Cryptowall, Tesla, RSA-4096.
Trend Micro Ransomware File Decryptor : la solution ?
Nouveauté dans la lutte contre les ransomwares, Trend Micro a annoncé avoir trouvé une solution pour (peut-être) déverrouiller vos fichiers. Il n’est pas garanti que cet outil fonctionne mais il faudra l’essayer si votre PC Windows ou réseau d’ordinateurs est infecté.
2. Télécharger l’outil par le bouton bleu « Download RansomwareFileDecryptor » :
3. Dézipper et exécuter le fichier. Accepter le contrat d’utilisation.
4. Première étape, indiquer le nom du ransomware parmi une liste complète. Si vous ne connaissez pas son nom, laisser l’outil le détecter par « I don’t know the ransomware name » et charger un fichier verrouillé pour qu’il le reconnaisse.
5. Ensuite, sélectionner le disque infecté par le ransomware pour lancer l’analyse.
6. Le scan anti-ransomware démarre et essaie de déverrouiller les fichiers chiffrés.
This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish.AcceptRead More
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
