Une partie des vieilles machines touchées par le ransomware WannaCrypt peut être sauvée de la menace, avec un peu de chance et si elles n’ont pas été redémarrées. La solution partielle vient d’un chercheur français, Adrien Guinet, qui se sert d’une limitation de l’API cryptographique sur l’ancienne version du système.
Depuis maintenant presque une semaine, le monde fait face à la menace de WannaCrypt, aussi appelé régulièrement Wannacry. Il s’agit d’un ransomware réclamant entre 300 et 600 dollars de rançon après avoir accompli son forfait. Il exploite pour cela une faille de Windows et les bases d’un autre malware, tous deux des éléments fournis par les pirates de Shadow Brokers, qui les avaient dérobés à la NSA.
La menace est en partie jugulée, mais il reste encore de nombreuses machines infectées, un nombre croissant de victimes finissant par payer à cause de la peur de perdre des données : WannaCrypt ne laissait que trois jours de délai pour obtempérer. Aucune solution n’était apparue jusqu’à maintenant, mais un chercheur français en a une potentielle pour les vieilles machines sous Windows XP… à condition qu’elles n’aient pas été redémarrées.
Une efficacité partielle
C’est Adrien Guinet qui est à l’origine de ces travaux. Il diffuse sur GitHub un petit programme capable de retrouver la clé de WannaCrypt, afin qu’elle soit ensuite utilisée pour redonner accès aux fichiers.
Comme il l’indique lui-même cependant, l’intérêt de ce programme, nommé Wannakey, est potentiellement limité. Déjà parce que la vague d’assaut initiale de WannaCrypt ne vise pas vraiment Windows XP, même si la faille utilisée – EternalBlue – s’y trouve aussi. Ensuite parce qu’il est impératif que la machine n’ait pas été redémarrée une seule fois depuis son infection. Enfin parce que le programme ne fonctionne pas forcément à tous les coups. Le chercheur Matthieu Suiche, que nous avons interrogé en début de semaine, a par exemple indiqué qu'il n'y était pas arrivé.
Le maniement se fait en ligne de commande en passant par cmd.exe. L’ensemble de la procédure est expliqué dans une note sur le dépôt GitHub du chercheur. Notez que Wannakey lui-même ne déchiffre pas les données, mais qu’Adrien Guinet renvoie vers Wannafork pour cette étape une fois que la clé a été récupérée.
Pourquoi Windows XP uniquement ?
Le fonctionnement – partiel – de Wannakey s’appuie en fait sur une différence de fonctionnement de l’API Cyptographic de Windows. Le malware s’en sert en effet pour l’ensemble des opérations de chiffrement, sans chercher à réinventer la roue donc.
Ce qui a rendu WannaCrypt difficile à combattre jusqu’ici, c’est qu’il jette littéralement la clé RSA de chiffrement après utilisation. L’API de Windows ne garde par ailleurs aucune information en mémoire, pour des questions de sécurité. Sous Windows XP par contre, l’ancienne version de l’interface y laisse des traces, particulièrement les nombres premiers générés pour construire la clé. Wannakey est capable de récupérer ces informations.
Ces traces expliquent également pourquoi le programme ne fonctionnera pas à chaque fois. Non seulement la machine ne doit pas avoir été arrêtée ou redémarrée (vidage mémoire), mais il ne faut pas non plus que les données aient été remplacées par d’autres.
Il reste encore du travail
Le fait est que même si Wannakey peut fonctionner sous Windows XP, la grande majorité des postes touchés sont sur des versions plus récentes du système, où les nombres premiers ne restent pas en mémoire. Adrien Guinet a indiqué continuer à travailler sur le déchiffrement des données et tester sa solution sous Windows 10, mais ce dernier n’offre pour l’instant aucune prise de ce côté-là.
Les conseils en cas d’infection restent toujours les mêmes : ne pas payer la rançon et contacter la gendarmerie. Au vu des éléments apportés par le chercheur, on évitera également de redémarrer la machine, ne, serait-ce que pour garder l’espoir d’une solution plus tard.
Commentaires (99)
#1
je vous l’avais bien dit de ne pas mettre à jour depuis Windows XP
" />
#2
Ce qui a rendu WannaCrypt difficile à combattre jusqu’ici, c’est qu’il jette littéralement la clé RSA de chiffrement après utilisation.
Comment est-ce qu’il est possible de déchiffrer après paiement alors ?
#3
essayez en le lancant en mode compatibilité
" />
" />
#4
Ben justement, il ne déchiffre rien :)
#5
Ils t’envoient la clé après paiement (ou pas s’ils sont vraiment méchants !)
#6
Les premiers retours montrent qu’il n’en est rien (pas les sources sous la main).
#7
c’est explique dans l’article.
La memoire ne se vide pas donc les nombres premiers (la cle en gros) sont toujours dans la RAM du PC.
#8
#9
La clé est donc rapatrié avec un identifiant vers un C2 pour ensuite être délivré si paiement ?
Je n’ai pas vu d’analyse parlant d’un tel système.
#10
euh dans quel sens ? (ils envoient la clé ou t’es fumé ?)
#11
Bon, un fois envoyé les bitcoins, et récupéré la clé de déchiffrement…
" /> ? 
" />
Ils envoient aussi le uninstall.exe de leur mer
#12
The RSA public key used to encrypt the infection specific RSA private key is embedded inside the DLL and owned by the ransomware authors.
Source
Et pour encore plus de détails : Wannacry DLL ops
#13
https://twitter.com/mikko/status/864107673146490880
apparemment, certains ont réussi à décrypter après paiement..
#14
Ou tu n’as pas compris l’article, ou tu n’as pas compris la question.
D’après les informations qui il y a sur Wannafork, il semblerait que la clé privée utilisée soit cryptée avec la clé publique maitre.
Pour décrypter les données ils faudrait donc envoyer la clé privée cryptée au C&C qui est capable de la décryptée puis qui l’a renverra au poste infectée.
Résumé :
Décryptage :
Bien sur, je ne suis pas expert, n’hésitez pas à me corriger.
#15
#16
Arg, et pourtant je me suis (très rapidement) posé la question.
Bon, j’ai justifié tout ça en bas de mon message précédent :)
#17
On n’a plus les données mais on a encore accès à la commande ?
#18
Tout objet connecté, le rend plus rapidement obsolète le moment venu (désolé mon commentaire deviendra obsolète par la suite, je passe tout de go à ma version 1.1)
" />
#19
Cette vague de piratage aura au moins mis en évidence l’absence quasi totale de prise de responsabilités des victimes, un simple HDD externe sur lequel on fait des sauvegardes journalières aurait suffit à régler le problème.
#20
#21
#22
Pas si simple, il faut toujours avoir au moins 2 jeux de sauvegarde.
On a un client qui avait son périphérique de sauvegarde connecté sur le poste, bha le virus a chiffré la sauvegarde …. ( c’était un virus du même genre, je ne sais pas s’il fait ça aussi celui la mais y a de fortes chances pour)
#23
#24
Résumé :
Le fichier chiffré possède une entête qui contient la clé AES préalablement chiffrée avec la clé RSA publique du poste (pky).
Décryptage :
#25
Merci Windows XP
" />
#26
Le C&C ne stocke pas les clés RSA privées/publiques générées pour chaque PC.
Ces clés sont stockées sur le PC dans un fichier “eky”, ce fichier étant chiffré avec la clé “maitre” du CC.
Il faut envoyer le fichier “eky” au CC qui va le déchiffrer avec sa clé “maitre”, puis renvoyer les clés RSA qui sont contenus dedans.
#27
Et en cas de sinistre touchant le porteur de ton HDD externe ? Et dans le cas d’une grande quantité de données à sauvegarder (et donc le temps de transfert chaque jour) ? etc.
" />
Ta proposition est, pour le coup, le tout premier degré d’une solution de sauvegarde (mais c’est déjà un début, je te l’accorde) et repose énormément sur la rigueur de celui/ceux qui en auront la tâche.
Pour beaucoup de boites (en particulier les TPE), le combo “ouais mais on n’a jamais eu de problème”+ cout d’une vraie solution de sauvegarde* est plutôt fatal à la décision
* quand bien même celle-ci ne serait qu’un bête robocopy ou un rsync vers un espace de stockage sur site et un autre en dehors, il y a toujours le cout de la prestation, de l’abo pour le stockage externe, etc.
#28
#29
Wanakiwi fait mieux. Plus d’info ici :
https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d
#30
intelligent et efficace, ca se discute: si tu trouves la clé privée “maitre”, tu peux déchiffrer tous les PC de la planète.
Il y a des ransomware plus intelligents qui essayent de contacter le CC pour avoir une autre clé “maitre”. Le CC gère alors un pool de clé maitre qu’il renouvelle de temps a autres.
#31
#32
c’est surtout que si les auteurs de Wanacrypt avaient été malins, ils auraient collé un délai d’incubation: au lieu de lancer directement le chiffrement, le ver aurait pu attendre quelques jours (tout en se propageant).
" />
" />
" />
du coup propagation silencieuse, et infection maximale y compris dans les sauvegardes.
#33
Vous n’êtes quand même pas gênés de conseiller aux victimes de ne pas payer la rançon. Certes, ça encourage ce business illégal, mais peut-être que ces dernières ont des données vitales (genre photos de famille) qu’elles souhaitent récupérer, quitte à lâcher 300e.
Ca me fait penser aux histoires de rançons exigées par les groupes terroristes (toute proportion gardée), facile de se refuser à payer - comme les autorités américaines/UK, lorsque l’on est pas la victime.
#34
Une partie des vieilles machines touchées par le ransomware WannaCrypt
peut être sauvée de la menace, avec un peu de chance et si elles n’ont
pas été redémarrées.
Est-ce que l’on peut porter plainte contre l’ANSSI ?
De manière préventive, s’il n’est pas possible de mettre à jour un
serveur, il est recommandé de l’isoler, voire de l’éteindre le temps
d’appliquer les mesures nécessaires.
#35
#36
#37
Ça fait très mal de perdre les photos de famille, c’est sûr, mais ça n’a rien de vital.
A chacun de voir si un une petite chance de revoir ses photos de familles vaut le coup de financer on-sait-pas-qui (potentiellement du crime organisé voire du terrorisme). Sans compter que plus on paie, plus on encourage le business-model.
#38
Contrairement à la plupart (la totalité?) de ses prédécesseurs, il se propage de machine en machine sans action de l’utilisateur.
#39
Tu viens de te réveiller et tu as manqué une partie de l’histoire ?
#40
bah ça fait le buzz parce qu’il utilise un exploit de la NSA.
et parce que ça a touché des hôpitaux.
mais je suis d’accord pour dire que c’est un gros gros buzz pour pas grand chose.
#41
Les innocents payeront encore des actions prises par un groupuscule de criminels, sous l’autel de la corruption et arrangements politico-financiers.
#42
+1
#43
la conséquence inattendue de ces ransomwares, c’est que de plus en plus de boites commencent à acheter et stocker des bitcoins, ce qui fait augmenter sa valeur. ^^
#44
C’est vrai que +10% en une semaine, c’est vraiment pas mal.
#45
je viens d’aller voir, on est à 1940\(, le BTC était à 1000\) début janvier.
" />
c’est très impressionnant.
et je verse une petite larme en pensant aux BTC qui j’avais acheté 20€ en 2011.
j’aurais du les garder, ces 15BTC, putain.
#46
Ça fait à peu près depuis qu’il vaut ~10\( qu'à chaque fois que j'entends parler du bitcoin, je me dis que ça a des bonnes chances de monter, et que je devrais en acheter quelques-uns... Encore en janvier, même après son pic à un peu plus de 1000\)
" />
Mais je l’ai jamais fait, dommage
#47
Photo de famille et vitale associé, désolé mais j’ai tiqué un peu …
Y’a quand même de bien meilleurs exemples de données vitales que des photos de famille…
#48
rien
Ce qui fait le plus parlé c’est que la faille exploité à été patch il y a 3 mois, mais que le nombre de victimes reste énorme.
ça montre à quelle point les gens ne prennent pas la sécurité au sérieux.
De plus c’est un événement qui sera sur utiliser pour faire du préventif, type : “z’avez vu le bordel que ça peut faire quand vous mettez pas à jours.” donc faut qu’on en parle.
même si au fond ça reste un ransomware banal dans le fonctionnement.
#49
Oui. Un portefeuille BTC où tu as tout tes économies dessus en revanche… (Bon faudrait être un peu fou pour ne pas avoir de copie, mais on a bien déjà vu le cas de portefeuilles qui ressurgissent de nulle part, alors pourquoi pas.)
" />
#50
vive le cloud !
#51
et le Martaud !
#52
#53
Tout cela pousse à changer d’ordi et d’os
" />
#54
#55
WannaKiwi apporte le support de 2003, Vista et 2008 : http://blogmotion.fr/internet/securite/wanakiwi-dechiffrer-wannakey-16005 :)
#cocorico
#56
et que dire de l’ethereum, entre juillet et jusqu’à la fin 2016 il était à 10-15\( , là il est à 124\)
" />
j’ai miné 60eth depuis le mois d’aout, mais j’ai converti la plupart en bitcoin en décembre, juste avant que ça monte… la rage
bon au moins le btc monte aussi… mais c’est pas du x10 non plus
#57
C’est fou que les gens ne savent pas lâcher leur connexion en fin de vie de leur machine. Aujourd’hui la connexion pour tout est une aberration commerciale. Dire qu’un nouveau PC est plus rapide, certes, mais ses mises à jour ont tendance à ralentir le PC avec le temps, à cause d’une évolution effrénée des nouvelles ressources passée de A à B et l’obsolescence passe du galop au trot avec ces mises à jour successives.
" />
Mon C64 était arrivé à sa pleine vitesse en fin de vie (par une programmation plus fine), et ça marche toujours nickel avec les possibilités de la machine. Aujourd’hui sur les objets connectés en fin de vie, les multiples rustines rendent ceux-ci plus lent qu’aux moment de l’ achat ou à l’achat d’un nouvel OS (Mettre un nouvel OS sur son ancienne machine est une stupidité en en pensant que ça va aller plus vite, certes peut-être un peu mieux au départ, mais on déchante très vite)
#58
#59
#60
la “solution”, c’est la sauvegarde cloud. il y a deux types d’offres :
- nombre de poste illimités mais quantitées de données limitées (ex spideroak One)
enfin, ce n’est pas parfait (besoin bon lien internet + abonnement du genre 10$/mois), mais c’est simple d’utilisation. et ils gardent les différentes versions des fichiers.
Je déploie ces solutions chez mes clients maintenant, en complément d’une sauvegarde sur site sur disque externe.
#61
1 doge = 1 doge
" />
#62
Oui les états, comme la france sont des putes.
Ils font genre, on ne paye jamais de rançon, mais en réalité il y a des millions d’euros qui passent en valise et qui alimentent ce business horrible.
Il y a des preuves sur plusieurs affaires, mais ça reste toujours bien discret.
#63
Attention, les conditions sont les mêmes que pour Wannakey : la machine ne doit pas avoir été redémarrée, et l’outil doit être exécuté aussi vite que possible.
Ce qui reste peu probable chez Mr/Mme ToutLeMonde, la première réaction étant “C’est quoi ce message d’erreur ? Pourquoi ca marche pas ? … je vais redémarrer, ca ira mieux”.
#64
Ou chez l’informaticien moyen sous Windows “dans le doute reboote” 
" />
#65
mets les perfs graphiques de cinnamone au mini, ou change d’interface graphique… Il n’y a pas de miracle, ce sera de toutes façons lent, avec les pages web de plus en plus lourde, ça n’aide pas…. :/
#66
#67
#68
#69
trop tard pour éditer
je repense à l’architecte…. le voleur qui a piqué son pc est entièrement responsable bien sur. Et l’archi a fait un appel pour lui demander de lui rendre les données car c’était 5 ans de sa vie.
Mais il aurait fait quoi si sa machine avait rendu l’âme ? Pris une surtension électrique ? une inondation ? un incendie ?
wannacrypt et un vol c’est finalement le moins pire car tu as un espoir de récupérer tes données…
#70
#71
#72
#73
d’un autre côté c’est difficile de dire “pas de rançon” et en même temps “libérez les otages”. ^^
#74
Et si le virus se déclenche quand le disque USB de sauvegarde est branché ? Et là c’est le drame…
A moins que tu aies une station de copie “externe” (insensible au virus).
Si on ajoute que, vu la fiabilité, il faut faire les sauvegardes sur au moins 2 disques.
Que si le virus est vicieux il peut commencer à crypter des fichiers des jours avant de se signaler (ce qui oblige à avoir d’autant plus de disques et à faire des sauvegardes différentielles)
Bref sauvegarder sur un seul disque c’est mieux que rien mais ce n’est quand même qu’un embryon de réponse.
#75
#76
#77
Donc en gros, si on avait le malheur d’avoir un périphérique USB de stockage, celui-ci était aussi crypté par cette merde ??
Enfin, si j’ai bien compris, j’avoue être à la rue dans ce domaine.
#78
Je ne sais pas pour ce ransomware là, mais il y en a qui se limitaient au profil de l’utilisateur, d’autre aux disques locaux et finalement, certains exploraient tout, y compris les partages réseaux…
Donc dans tous les cas : méfiance.
#79
#80
D’accord, je comprends mieux, merci.
#81
#82
Si win7est touché, cela ne m’étonne plus qu’il ait des problèmes de màj récalcitrantes (Windows aime l’obsolescence avec menaces, ça l’amuse, Linux est là)
#83
Suite,
Même si ce n’est intentionnel. Il est le premier à avoir prononcé les difficultés que paurraient rencontrer Win 7 au moment d’avoir voulu imposer Win 10
#84
Il ne faut pas oublier que win 7 est toujours un OS très répendu (pas “intentionnel” dans mon précédant message)
#85
tiens ça me fait penser à une saleté qu’une collègue m’avait apportée (récupérée à l’école de son fils)
Quand tu branchais une clé USB (probablement un disque aussi…), ça planquait tous les fichiers présents sur le média amovible et ça les remplaçait par un raccourci + ça infectait la machine pour qu’elle refile la chtouille aux prochaines clés qu’on brancherait (mis à part le process qui réalisait ces joyeuseté, le poste ne présentait aucun comportement bizarre - pas de ralentissement, de popup ou autre.)
(ça m’avait fait gagner une boite de ferrero/raphaelo ♥ )
#86
#87
#88
#89
Ta remarque ne concerne que les particuliers et encore si le HDD est branché au PC pendant le chiffrement te l’as dans l’os bien profond. On est pas dans un monde ou tous les ordinateurs n’ont qu’un utilisateur bien défini…
Des PC il y en a partout, on ne pas demander à la caissière (ou le caissier) de la cafétéria de ramener son disque dur pour faire un backup de l’ordi qui se cache derrière sa caisse.
Même chose dans un hôpital. Il y a 2 ou 3 ordinateurs par desk avec au total une dizaine d’utilisateurs (oui ça tourne H24). La sauvegarde automatique via réseau n’est peu être pas le moyen le plus sûr mais c’est le seul moyen de gérer un grand parc de PC.
#90
#91
J’ai connu ça là où je travaille et pour éviter de rencontrer ce genre de problème, j’ai déployé la clé de registre suivante afin de désactiver toute exécution automatique du fichier autorun.inf :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=“@SYS:FileDoesNotExist”
“FileDoesNotExist” est du texte qui peut être remplacé par n’importe quoi d’autre.
#92
Il faut partir du principe que n’importe quelle unité de stockage accessible en écriture pourra et sera chiffrée.
#93
Au boulot (et d’ailleurs on a pas été touché par ce virus sur les pc bureau tique en tout cas), on a une sauvegarde cloud
#94
#95
Pas besoin de tester quoi que ce soit. Tu infectes tous les volumes qui sont connectés. Si tu travailles 7h00 par jour et qu’il te faut 1h00 pour faire une sauvegarde totale (usb2…) tu vois que la probabilité d’avoir des fichiers vérolés est déjà très élevée. Soit parce que le cryptage va se déclencher pendant la période ou le disque est branché. Soit parce que le cryptage a déjà eu lieu sur le disque maître (mais qu’il est encore passé inaperçu) et que tu recopies des fichiers vérolés.
#96
#97
#98
#99
Au regard de l’ampleur de la chose, on peut trouver le déploiement du virus disproportionné au regard de l’objectif de paiement.
Avis qu’il est bien plus intéressant de diffuser le virus “avec modération” pour éviter une vague de réactions dans la presse classique et même la sortie de patch jusqu’à XP.
Précisément, à la lecture de plusieurs articles sur le sujet, l’attaque aurait une rentabilité relativement faible.
L’objectif serait en réalité d’asservir plus de machines pour miner de la monnaie virtuelle. Par conséquent, le paiement ou non pour déchiffrer (dans l’éventualité où la clef serait communiquée après paiement) serait du bonus.
On peut donc envisager que la vitesse de propagation est une erreur d’appréciation des auteurs du virus, ou que l’aspect chiffrage/paiement n’est qu’une devanture.