Le ver WannaCry continue de faire des victimes

Par
Le 29 décembre 2018
 0
clubic__wannacry-le-ransomware-qui-paralyse-linternet__2987367__486896_854x480_3.jpg

Le malware WannaCry, qui avait infecté des centaines de milliers de machines, avait été stoppé en enregistrant un nom de domaine, l'empêchant ainsi d'agir. Mais d'après des statistiques, le logiciel malveillant serait toujours présent, de façon silencieuse, sur de nombreux ordinateurs, guettant la moindre opportunité pour ressurgir.

Apparu en mai 2017, WannaCry est un ransomware ayant fait plus de 300 000 victimes en quelques jours. Son principe : chiffrer les données personnelles présentes sur les ordinateurs infectés et demander une rançon en l'échange de la clé de déchiffrement permettant de récupérer les fichiers cryptés.

Un nom de domaine comme antidote

Le virus avait pu être endigué grâce à l'intervention de Marcus Hutchins, chercheur en cybersécurité chez Kryptos Logic. Pour cela, l'informaticien, qui avait d'abord souhaité rester anonyme, avait simplement acheté un nom de domaine, ce qui avait entraîné la désactivation immédiate de WannaCry.

Pour fonctionner, le malware utilisait en effet une URL composée de caractères aléatoires, à titre de vérification. Si cette adresse était inaccessible, WannaCry continuait d'agir et de se propager. Dans le cas contraire, il était bloqué.

Une menace en sourdine dans près de 200 pays

Mais « bloqué » ne signifie pas « supprimé ». Des chercheurs de Kryptos Logic ont toujours accès aux statistiques associés au nom de domaine lié à WannaCry et ont ainsi pu constater que le ransomware était toujours installé sur de nombreuses machines. Un an et demi après son apparition, il continue de s'y exécuter en arrière-plan, vérifiant la disponibilité de l'URL, pour reprendre son activité en cas de faille.

Ainsi, le domaine ferait l'objet de 17 millions de connexions par semaine, issues de 630 adresses IP uniques, venant de 194 pays différents, les plus représentés étant la Chine, l'Indonésie et le Vietnam. De plus, les chiffres montrent des pics pendant les jours ouvrables, aux heures de bureau, ce qui tend à prouver que les machines les plus infectées sont les ordinateurs professionnels.

Et renfermer une telle menace endormie ne doit pas être pris à la légère. Il suffit effectivement d'une panne de serveur pour que l'URL de vérification de WannaCry soit inaccessible, entraînant de fait la réactivation du ransomware. C'est pourquoi Kryptos Logic recommande d'utiliser un outil de détection permettant de déterminer si votre ordinateur fait partie des victimes.

Source : BleepingComputer
Modifié le 28/12/2018 à 13h54
scroll top