3
Le malware WannaCry, qui avait infecté des centaines de milliers de machines, avait été stoppé en enregistrant un nom de domaine, l'empêchant ainsi d'agir. Mais d'après des statistiques, le logiciel malveillant serait toujours présent, de façon silencieuse, sur de nombreux ordinateurs, guettant la moindre opportunité pour ressurgir.
Apparu en mai 2017, WannaCry est un ransomware ayant fait plus de 300 000 victimes en quelques jours. Son principe : chiffrer les données personnelles présentes sur les ordinateurs infectés et demander une rançon en l'échange de la clé de déchiffrement permettant de récupérer les fichiers cryptés.
Un nom de domaine comme antidote
Le virus avait pu être endigué grâce à l'intervention de Marcus Hutchins, chercheur en cybersécurité chez Kryptos Logic. Pour cela, l'informaticien, qui avait d'abord souhaité rester anonyme, avait simplement acheté un nom de domaine, ce qui avait entraîné la désactivation immédiate de WannaCry.Pour fonctionner, le malware utilisait en effet une URL composée de caractères aléatoires, à titre de vérification. Si cette adresse était inaccessible, WannaCry continuait d'agir et de se propager. Dans le cas contraire, il était bloqué.
Une menace en sourdine dans près de 200 pays
Mais « bloqué » ne signifie pas « supprimé ». Des chercheurs de Kryptos Logic ont toujours accès aux statistiques associés au nom de domaine lié à WannaCry et ont ainsi pu constater que le ransomware était toujours installé sur de nombreuses machines. Un an et demi après son apparition, il continue de s'y exécuter en arrière-plan, vérifiant la disponibilité de l'URL, pour reprendre son activité en cas de faille.Ainsi, le domaine ferait l'objet de 17 millions de connexions par semaine, issues de 630 adresses IP uniques, venant de 194 pays différents, les plus représentés étant la Chine, l'Indonésie et le Vietnam. De plus, les chiffres montrent des pics pendant les jours ouvrables, aux heures de bureau, ce qui tend à prouver que les machines les plus infectées sont les ordinateurs professionnels.
Et renfermer une telle menace endormie ne doit pas être pris à la légère. Il suffit effectivement d'une panne de serveur pour que l'URL de vérification de WannaCry soit inaccessible, entraînant de fait la réactivation du ransomware. C'est pourquoi Kryptos Logic recommande d'utiliser un outil de détection permettant de déterminer si votre ordinateur fait partie des victimes.
Source : BleepingComputer
Ingénieur télécom reconverti en rédacteur web. J'écris sur les high tech, les jeux vidéo, l'innovation... J'ai d'ailleurs été responsable d'accélérateur de startups ! Mais je vous réserve aussi d'autres surprises, que vous pourrez découvrir à travers mes articles... Et je suis là aussi si vous voulez parler actu sportive, notamment foot. Pour ceux qui ne connaissent pas, c'est comme du FIFA, mais ça fait plus mal aux jambes.
Lire d'autres articles
