Le ver WannaCry continue de faire des victimes

Bastien Contreras
Publié le 29 décembre 2018 à 16h35
clubic__WannaCry-le-ransomware-qui-paralyse-linternet__2987367__486896_854x480_3.jpg

Le malware WannaCry, qui avait infecté des centaines de milliers de machines, avait été stoppé en enregistrant un nom de domaine, l'empêchant ainsi d'agir. Mais d'après des statistiques, le logiciel malveillant serait toujours présent, de façon silencieuse, sur de nombreux ordinateurs, guettant la moindre opportunité pour ressurgir.

Apparu en mai 2017, WannaCry est un ransomware ayant fait plus de 300 000 victimes en quelques jours. Son principe : chiffrer les données personnelles présentes sur les ordinateurs infectés et demander une rançon en l'échange de la clé de déchiffrement permettant de récupérer les fichiers cryptés.

Un nom de domaine comme antidote

Le virus avait pu être endigué grâce à l'intervention de Marcus Hutchins, chercheur en cybersécurité chez Kryptos Logic. Pour cela, l'informaticien, qui avait d'abord souhaité rester anonyme, avait simplement acheté un nom de domaine, ce qui avait entraîné la désactivation immédiate de WannaCry.

Pour fonctionner, le malware utilisait en effet une URL composée de caractères aléatoires, à titre de vérification. Si cette adresse était inaccessible, WannaCry continuait d'agir et de se propager. Dans le cas contraire, il était bloqué.

Une menace en sourdine dans près de 200 pays

Mais « bloqué » ne signifie pas « supprimé ». Des chercheurs de Kryptos Logic ont toujours accès aux statistiques associés au nom de domaine lié à WannaCry et ont ainsi pu constater que le ransomware était toujours installé sur de nombreuses machines. Un an et demi après son apparition, il continue de s'y exécuter en arrière-plan, vérifiant la disponibilité de l'URL, pour reprendre son activité en cas de faille.

Ainsi, le domaine ferait l'objet de 17 millions de connexions par semaine, issues de 630 adresses IP uniques, venant de 194 pays différents, les plus représentés étant la Chine, l'Indonésie et le Vietnam. De plus, les chiffres montrent des pics pendant les jours ouvrables, aux heures de bureau, ce qui tend à prouver que les machines les plus infectées sont les ordinateurs professionnels.

Et renfermer une telle menace endormie ne doit pas être pris à la légère. Il suffit effectivement d'une panne de serveur pour que l'URL de vérification de WannaCry soit inaccessible, entraînant de fait la réactivation du ransomware. C'est pourquoi Kryptos Logic recommande d'utiliser un outil de détection permettant de déterminer si votre ordinateur fait partie des victimes.

Source : BleepingComputer
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (3)
jardinero

Et c’est là que clubic nous met le lien pour l’outil de detection ,super ,super .
Je savais qu’il y avait un côté pratique sur ce site, dans les articles.
Merci et meilleurs voeux.

notolik

630 adresses IP uniques ?
Ce serait pas plutôt 630 000 ?

Sun

Si le gars y met de la pub, il gagnera pas mal de fric rapidement.

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles