lundi 15 mai 2017

Ransomwares : WannaCrypt, WannaCry, WanaCrypt0r, WCrypt ou WCRY

Un ransomware est un virus qui chiffre vos fichiers et vous demande une rançon pour les déchiffrer.
Il se répand sur les versions non mises à jour de Windows, antérieures à Windows 10.



Une vidéo de son mode de fonctionnement :



Linux et Mac ne sont pas touchés à ce jour.

Comment s'en protéger ?

1) Faites les mises à jour de Windows ( patch pour Windows XP publié par Microsoft en 2014 : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ )
2) Abandonnez les anciennes versions de Windows qui ne sont plus suivies par Microsoft : XP, Vista, NT4, 2000/2003 et passez à Windows 10, Linux ou Mac.
3) Utilisez des outils de blocage des ransomwares comme RamsonFree : https://ransomfree.cybereason.com/
4) Si vous ne pouvez pas mettre à jour votre Windows désactivez le service SMB: https://twitter.com/TheHackersNews/status/863432319272574976/photo/1
5) Fermez les ports suivants du pare-feu :  445, 139 et 3389

Les types de fichiers visés :

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

 Si vous vous êtes fait infecter :

-  Le virus se propageant via le réseau local, dans le doute, débranchez temporairement tous les PC du réseau (câble Ethernet) pour ensuite réaliser un audit complet des dégâts !
- Ensuite, soit vous avez fait des sauvegardes, et vous pouvez les restaurer après désinfection des postes de votre réseau local.
- Sinon il ne vous reste que vos yeux pour pleurer ( WannaCry :)))

- Mais vous pouvez toujours conserver vos données cryptées en espérant que dans quelques semaines un déchiffreur de WannaCrypt soit trouvé.

( Source : korben.info )