Qu’est-ce que le ransomware WannaCry ?

WannaCry est un logiciel malveillant ou malware de type ransomware (rançongiciel). Le mode opératoire est simple : ce programme utilise un ver (worm) pour prendre en otage les fichiers importants des ordinateurs infectés. Les hackers demandent alors aux propriétaires de payer une rançon pour permettre le déchiffrement de fichiers et rétablir leur accès à ces derniers.

WannaCry chiffre vos données et demande une rançon en échange d’une clé de déchiffrement. Les victimes reçoivent alors une note de rançon sur leur écran avec des instructions. Si elles ne paient pas la rançon, les criminels suppriment les données.Bien que Microsoft ait publié un correctif pour lutter contre cette utilisation, elle n’a pas pu empêcher la propagation de ce logiciel malveillant.

Les criminels ont également injecté WannaCry à l’aide de la porte dérobée DoublePulsar installée sur les appareils ciblés. Une fois à l’intérieur, WannaCry vérifie d’abord le nom de domaine utilisé pour arrêter les logiciels malveillants. S’il ne le trouve pas, il commence à chiffrer les formats de fichiers les plus importants tels que doc, mp3 et mkvs. Enfin, en utilisant la vulnérabilité EternalBlue, il tente de se propager à des ordinateurs aléatoires sur Internet et sur votre réseau.

Souvent considéré comme un virus, le rançongiciel WannaCry a pourtant le comportement d’un ver, capable de se propager sur les réseaux sans intervention humaine. Le fait qu’il soit en mesure d’analyser un réseau, d’identifier des appareils vulnérables et de s’auto-propager le classe définitivement dans la catégorie des vers.

Bien qu’aucun coupable n’ait été officiellement identifié, les États-Unis, le Canada, la Nouvelle-Zélande, le Japon et quelques autres gouvernements s’accordent à penser que la Corée du Nord est à l’origine de l’attaque. Les experts gouvernementaux ont fondé leurs conclusions sur les similitudes de code avec le Lazarus Group, une organisation cybercriminelle nord-coréenne notoire, et sur les horodatages coréens dans les métadonnées des ransomwares. Aujourd’hui, aucun coupable n’a été formellement identifié.

La cyberattaque a débuté en mai 2017 et a touché plus de 300 000 appareils dans plus de 150 pays. Le ver était capable de toucher des milliers d’appareils par heure. Si la demande de rançon était relativement faible (comprise entre 300 et 600 dollars), le préjudice global de WannaCry se chiffre en millions ou en milliards de dollars.

WannaCry a considérablement affecté le service national de santé du Royaume-Uni en compromettant des milliers d’équipements. Il a également visé d’autres entreprises connues comme Renault, FedEx et la Deutsche Bahn. Le constructeur automobile a d’ailleurs été contraint de fermer son usine de Douai dans le Nord pendant une journée, à cause du virus. Des universités, agences gouvernementales et grandes entreprises, notamment dans le secteur des transports ont été particulièrement touchées. Parmi les pays les plus touchés figurent la Russie, l’Ukraine, l’Inde et Taïwan.

Comment expliquer que de si grandes institutions font partie des victimes ? Il est parfois compliqué et chronophage d’effectuer une mise à jour pour tous les systèmes d’un service de santé par exemple. C’est ce qui pourrait expliquer le succès de ce malware.

En 2017, Marcus Hitchins, un hacker britannique, a réussi à stopper l’attaque pendant quelques heures après avoir découvert un coupe-circuit qui empêchait les appareils infectés de propager davantage l’attaque, en utilisant un Botnet.

Malgré les correctifs et les informations disponibles, WannaCry constitue toujours une menace active. Là encore, il profite généralement des systèmes non corrigés. Comme nous continuons à observer des cas de WannaCry même aujourd’hui, il est clair que l’application de correctifs n’est pas encore une pratique universelle.

Contrairement aux rootkits par exemple, qui sont tapis au cœur de votre système et extrêmement discrets, WannaCry s’affiche directement sur votre écran sous la forme d’une fenêtre Windows classique sur fond bordeaux.

On y retrouve deux compte à rebours sur la gauche, l’un avant l’augmentation du montant de la rançon et l’autre avant la destruction des fichiers. Vous y trouverez aussi les étapes à suivre pour la récupération de vos données, et en bas, le lien vers lequel effectuer le virement de Bitcoin.

Oui, il est possible de supprimer WannaCry de votre ordinateur, à l’aide d’un outil de sécurité informatique classique. MAIS, car il y a un mais, il ne sera pas possible de déchiffrer les fichiers infectés. Tout d’abord, et quel que soit le ransomware rencontré, il est fortement déconseillé d’accéder à la demande des pirates et de payer la rançon. En effet, rien ne vous garantit de retrouver vos données intactes et vous ne feriez qu’encourager les malfaiteurs dans leur démarche.

Alors, que faire pour déchiffrer les fichiers touchés par WannaCry ? Des outils de déchiffrement ont depuis été développés et vous trouverez sûrement votre bonheur en ligne après quelques recherches. Si ces dernières sont infructueuses, vous pouvez toujours restaurer une version de votre système antérieure à l’attaque.

À l’heure actuelle, il existe de nombreuses menaces en ligne et il est vital de vous soucier de votre cybersécurité. Voici quelques-uns de nos conseils les plus simples à appliquer, mais redoutablement efficaces au quotidien.

Maintenez vos logiciels à jour

Cela paraît pourtant logique, et pourtant WannaCry aurait eu un impact largement restreint si tout le monde avait mis à jour leurs systèmes en temps et en heure. Nous ne le répéterons jamais assez, c’est une étape cruciale pour votre protection contre les logiciels malveillants.

N’ouvrez pas les pièces jointes suspectes des e-mails

Nous avons tous déjà reçu des emails provenant de personnes que nous ne connaissions pas, nous incitant à cliquer sur tel ou tel lien. Avec le temps, les pirates se sont perfectionnés et essaient de se faire passer pour de grandes institutions ou entreprises pour berner leurs victimes. Ne soyez pas dupes, n’ouvrez jamais de pièces jointes et ne cliquez pas sur les liens présents dans ce type de mailsd’hameçonnage.

Si l’email envoyé par un de vos contacts vous semble suspect, contactez-le et vérifiez avec lui : il a peut-être été lui aussi victime de phishing. Votre prudence et votre instinct sont vos meilleurs alliés dans la lutte contre les malwares.

Pour vous protéger efficacement, la fonction Protection Anti-menaces de NordVPN analyse tous vos fichiers en cours de téléchargement à la recherche de logiciels malveillants. Si un fichier est infecté, il est éliminé automatiquement avant d’être en mesure d’infecter votre appareil.

Évitez de visiter des sites Web douteux

Lorsque vous tombez sur un site dangereux, vous verrez souvent des bannières publicitaires qui peuvent contenir des malwares et vous infecter. Pour vous assurer de la légitimité d’un site Internet, voici quelques signes qui ne trompent pas : l’adresse est précédée de https, le site contient des mentions légales ou encore une page de contact réelle.

Là encore, la fonctionnalité Protection Anti-menaces peut vous aider à faire le tri. Grâce à elle, votre expérience de navigation est beaucoup plus agréable, car elle bloque l’accès aux sites Web dangereux et les publicités malveillantes.

Sauvegardez vos données importantes

Lorsque vous sauvegardez régulièrement votre système, vos fichiers et documents importants, vous limitez les effets d’une éventuelle attaque par un malware. En effet, si vous êtes un jour victime d’un logiciel malveillant, vous n’aurez qu’à le supprimer et restaurer la version de votre système antérieure à la l’attaque.

Pour un maximum de sécurité, il est préférable de sauvegarder votre système à la fois dans le cloud et sur un appareil de stockage physique.

Utilisez un VPN lorsque vous vous connectez à un réseau Wi-Fi public

Si vous êtes amené à utiliser un réseau Wi-Fi public, ne prenez aucun risque et utilisez toujours un VPN. Ainsi, vos données transitent dans un tunnel chiffré, loin des yeux des pirates.

N’attendez pas. Protégez-vous avec un VPN.