Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

WanaKiwi peut retrouver la clé WannaCrypt sur Windows XP, Vista et 7

Mais il faudra quand même un peu de chance
Internet 3 min
WanaKiwi peut retrouver la clé WannaCrypt sur Windows XP, Vista et 7
Crédits : D3Damon/iStock
Mise à jour :

En utilisant les bases de Wannakey, un autre chercheur, Benjamin Delpy, a publié WanaKiwi. Le petit outil fonctionne de Windows XP à Server 2008 R2, en passant par Vista et Windows 7 (qui compte pour 98 % des infections de machines utilisant un outil Kaspersky), en tout cas sur les versions 32 bits. Attention, les conditions sont les mêmes que pour Wannakey : la machine ne doit pas avoir été redémarrée, et l’outil doit être exécuté aussi vite que possible. Son potentiel a été confirmé par Matthieu Suiche.

Une partie des vieilles machines touchées par le ransomware WannaCrypt peut être sauvée de la menace, avec un peu de chance et si elles n’ont pas été redémarrées. La solution partielle vient d’un chercheur français, Adrien Guinet, qui se sert d’une limitation de l’API cryptographique sur l’ancienne version du système.

Depuis maintenant presque une semaine, le monde fait face à la menace de WannaCrypt, aussi appelé régulièrement Wannacry. Il s’agit d’un ransomware réclamant entre 300 et 600 dollars de rançon après avoir accompli son forfait. Il exploite pour cela une faille de Windows et les bases d’un autre malware, tous deux des éléments fournis par les pirates de Shadow Brokers, qui les avaient dérobés à la NSA.

La menace est en partie jugulée, mais il reste encore de nombreuses machines infectées, un nombre croissant de victimes finissant par payer à cause de la peur de perdre des données : WannaCrypt ne laissait que trois jours de délai pour obtempérer. Aucune solution n’était apparue jusqu’à maintenant, mais un chercheur français en a une potentielle pour les vieilles machines sous Windows XP… à condition qu’elles n’aient pas été redémarrées.

Une efficacité partielle

C’est Adrien Guinet qui est à l’origine de ces travaux. Il diffuse sur GitHub un petit programme capable de retrouver la clé de WannaCrypt, afin qu’elle soit ensuite utilisée pour redonner accès aux fichiers.

Comme il l’indique lui-même cependant, l’intérêt de ce programme, nommé Wannakey, est potentiellement limité. Déjà parce que la vague d’assaut initiale de WannaCrypt ne vise pas vraiment Windows XP, même si la faille utilisée – EternalBlue – s’y trouve aussi. Ensuite parce qu’il est impératif que la machine n’ait pas été redémarrée une seule fois depuis son infection. Enfin parce que le programme ne fonctionne pas forcément à tous les coups. Le chercheur Matthieu Suiche, que nous avons interrogé en début de semaine, a par exemple indiqué qu'il n'y était pas arrivé.

Le maniement se fait en ligne de commande en passant par cmd.exe. L’ensemble de la procédure est expliqué dans une note sur le dépôt GitHub du chercheur. Notez que Wannakey lui-même ne déchiffre pas les données, mais qu’Adrien Guinet renvoie vers Wannafork pour cette étape une fois que la clé a été récupérée.

Pourquoi Windows XP uniquement ?

Le fonctionnement – partiel – de Wannakey s’appuie en fait sur une différence de fonctionnement de l’API Cyptographic de Windows. Le malware s’en sert en effet pour l’ensemble des opérations de chiffrement, sans chercher à réinventer la roue donc.

Ce qui a rendu WannaCrypt difficile à combattre jusqu’ici, c’est qu’il jette littéralement la clé RSA de chiffrement après utilisation. L’API de Windows ne garde par ailleurs aucune information en mémoire, pour des questions de sécurité. Sous Windows XP par contre, l’ancienne version de l’interface y laisse des traces, particulièrement les nombres premiers générés pour construire la clé. Wannakey est capable de récupérer ces informations.

Ces traces expliquent également pourquoi le programme ne fonctionnera pas à chaque fois. Non seulement la machine ne doit pas avoir été arrêtée ou redémarrée (vidage mémoire), mais il ne faut pas non plus que les données aient été remplacées par d’autres.

Il reste encore du travail

Le fait est que même si Wannakey peut fonctionner sous Windows XP, la grande majorité des postes touchés sont sur des versions plus récentes du système, où les nombres premiers ne restent pas en mémoire. Adrien Guinet a indiqué continuer à travailler sur le déchiffrement des données et tester sa solution sous Windows 10, mais ce dernier n’offre pour l’instant aucune prise de ce côté-là.

Les conseils en cas d’infection restent toujours les mêmes : ne pas payer la rançon et contacter la gendarmerie. Au vu des éléments apportés par le chercheur, on évitera également de redémarrer la machine, ne, serait-ce que pour garder l’espoir d’une solution plus tard.

99 commentaires
Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 19/05/17 à 09:56:49

je vous l'avais bien dit de ne pas mettre à jour depuis Windows XP:francais:

Avatar de korgall INpactien
Avatar de korgallkorgall- 19/05/17 à 09:58:47

Ce qui a rendu WannaCrypt difficile à combattre jusqu’ici, c’est qu’il jette littéralement la clé RSA de chiffrement après utilisation.

Comment est-ce qu'il est possible de déchiffrer après paiement alors ?

Avatar de djshotam INpactien
Avatar de djshotamdjshotam- 19/05/17 à 09:59:39

essayez en le lancant en mode compatibilité :fumer:
:non:

Avatar de AirTé Abonné
Avatar de AirTéAirTé- 19/05/17 à 10:00:12

Ben justement, il ne déchiffre rien :)

Avatar de fred42 INpactien
Avatar de fred42fred42- 19/05/17 à 10:01:13

Ils t'envoient la clé après paiement (ou pas s'ils sont vraiment méchants !)

Avatar de AirTé Abonné
Avatar de AirTéAirTé- 19/05/17 à 10:02:36

Les premiers retours montrent qu'il n'en est rien (pas les sources sous la main).

Avatar de tibibs Abonné
Avatar de tibibstibibs- 19/05/17 à 10:18:21

c'est explique dans l'article.

La memoire ne se vide pas donc les nombres premiers (la cle en gros) sont toujours dans la RAM du PC.

Avatar de Carpette INpactien
Avatar de CarpetteCarpette- 19/05/17 à 10:26:51

korgall a écrit :

Comment est-ce qu'il est possible de déchiffrer après paiement alors ?

Certainement qu'elle est envoyee a un C&C qui va la stocker dans une BDD comme tous les malware de ce type.

Avatar de korgall INpactien
Avatar de korgallkorgall- 19/05/17 à 10:36:29

La clé est donc rapatrié avec un identifiant vers un C2 pour ensuite être délivré si paiement ?

Je n'ai pas vu d'analyse parlant d'un tel système.

Avatar de odoc Abonné
Avatar de odocodoc- 19/05/17 à 10:50:39

euh dans quel sens ? (ils envoient la clé ou t'es fumé ?)

Il n'est plus possible de commenter cette actualité.
Page 1 / 10