Alerte WanaCrypt0r

Une importante attaque de Ransomware a touché de nombreuses organisations à travers le monde. Le malware responsable de cette attaque est une variante de Ransomware connue sous le nom de ‘WannaCry’ appelé également WanaCryptor.

Le logiciel malveillant a alors la capacité de scanner sur le port TCP 445 (SMB v1), se déployant de manière similaire à un ver, compromettant les machines, cryptant les fichiers qui y sont stockés puis exigeant un paiement de rançon sous forme de Bitcoin.

Séquence de l’attaque et fonctionnement du malware

  • Le vecteur d’infection commence par un courrier électronique ciblé, à destination d’utilisateurs ayant des sujets en cours liés à l’information financière. Le courrier électronique contient des liens HTML.
  • Une fois que le HTML est exécuté et que l’utilisateur a été trompé, un « dropper » est installé sur la machine ciblée. Ce dropper scanne votre réseau, exploite des machines ayant la vulnérabilité MS17-010, et dépose alors WanaCrypt sur celles-ci.
  • Un premier fichier, appelé « mssecsvc.exe » est alors dépose et exécute le fichier « tasksche.exe » puis le service « mssecsvc2.0 » est créé.
  • Ce service exécute le fichier « mssecsvc.exe » avec un point d’entrée différent de l’exécution initiale. Cette seconde exécution vérifie l’adresse IP de la machine infectée et tente de se connecter au port 445 TCP de chaque adresse IP dans le même sous-réseau.
  • Lorsque le malware se connecte avec succès à une machine, une connexion est initiée et les données sont transférées. Il s’agit probablement de la charge utile. Ce mécanisme semble exploiter les vulnérabilités décrites récemment par Microsoft dans le bulletin MS17-010. Ces vulnérabilités sont celles décrites dans le bulletin de sécurité MS17-010 et pour lesquelles l’ANSSI vient de publier une alerte : consultez le bulletin de sécurité.

  • Le fichier « tasksche.exe » vérifie les unités de disque, y compris les partages réseau et les périphériques de stockage. Le logiciel malveillant vérifie alors les fichiers avec une extension de fichier courante (document office, pdf, bmp, etc…) et les crypte en utilisant un chiffrement RSA 2048 bits.
  • Pendant que les fichiers sont cryptés, il supprime certains de ses propres fichiers fichiers: taskdl.exe & taskse.exe. Le premier supprime les fichiers temporaires tandis que le dernier lance « @ wanadecryptor @ .exe » pour afficher la note de rançon sur le bureau à l’utilisateur final. Le « @ wanadecryptor @ .exe » n’est pas en soi le Ransomware, seulement la note de rançon. Le cryptage est effectué en arrière-plan par « tasksche.exe ».
  • Le fichier tor.exe est exécuté, ce processus nouvellement exécuté lance des connexions réseau aux nœuds Tor. Cela permet à WannaCry de tenter de préserver l’anonymat en « proxifiant » leur trafic via le réseau Tor.
  • Comme bien souvent dans lorsque nous avons à faire à des Ransomwares, le logiciel malveillant supprime également tous les snapshots shadow copy sur la machine de la victime afin de rendre la récupération plus difficile.

Une fois le cryptage terminé, le malware affiche la demande de rançon.

Quoi faire en cas d’attaque ?

Si le code malveillant est découvert sur vos systèmes :

  • Déconnecter immédiatement du réseau les machines identifiées comme compromises. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
  • Alerter le responsable sécurité ou le service informatique au plus tôt.
  • Aller porter plainte auprès des services de gendarmerie ou police.
  • Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.

Les équipes Inforsud Diffusion restent à votre écoute pour toute question concernant cette attaque.

Savez-vous restaurer vos données ?

Votre entreprise, comme l’ensemble des entreprises, sera un jour victime d’une faille de sécurité, et si vos données informatiques ne sont pas sauvegardées, vous risquez de les perdre définitivement.

Il y a quelques semaines, nous avons communiqué sur l’importance de sécuriser vos systèmes d’information au vu de la recrudescence des cyberattaques.
Nous avions mis en avant le parefeu qui reste un élément primordial dans la sécurisation des données, mais les failles existeront toujours et dans le cas d’un sinistre informatique, seule une sauvegarde pourra vous permettre de récupérer vos données et reprendre au plus vite votre activité.

Plusieurs types de sauvegarde sont envisageables : de la sauvegarde manuelle sur disque, à l’externalisation sur des serveurs distants, de la sauvegarde de fichiers à la sauvegarde de la totalité de vos logiciels et systèmes d’exploitation. Pour définir le type et la périodicité de sauvegarde, il est nécessaire, au préalable, d’établir un plan de sauvegarde car une interruption de service, un risque d’indisponibilité des données peut être critique pour la plupart des entreprises.
En fonction de vos besoins, de la sensibilité de vos données et de votre infrastructure informatique, nous sommes en mesure de vous proposer la solution de sauvegarde adaptée à votre entreprise. Pour cela, nous nous appuyons sur 2 partenaires leader dans les solutions de sauvegarde : Arcserve et Symantec.


Pour savoir où vous en êtes avec la sauvegarde de vos données informatiques , prenez quelques minutes pour répondre au questionnaire ci-dessous :

1- Savez-vous où sont vos sauvegardes ?
2- Connaissez-vous la fréquence de vos sauvegardes ?
3- Contrôlez-vous l'état de vos sauvegardes ?
4- Avez-vous déja eu des problèmes de restauration ?
5- Etes-vous en capacité d'effectuer une restauration totale ou partielle de vos données ?

Et pour allez plus loin, vous pouvez également prendre connaissance du Guide des bonnes pratiques informatiques édité par l’ANSSI et la CGPME en cliquant ici.

Nos équipes restent à votre entière disposition pour répondre à vos questions : Liliane Lacombe : 05 62 16 76 01 liliane.lacombe@inforsud.com ou Joseph Carpentier : 05 62 16 76 02 joseph.carpentier@inforsud.com

Sécurité informatique : où en êtes-vous ?

La sécurité informatique est plus que jamais d’actualité, mais la majorité des PME n’ont pas encore pris la mesure de l’importance du sujet et mis en place les solutions de sécurisation informatique pourtant essentielles pour leur entreprise :

securite(Source : Etude Ipsos-Navista 2015)

Partant de ces éléments factuels, il est urgent d’initier les actions nécessaires, étape par étape, pour anticiper les cyberattaques.

Aujourd’hui, le parefeu est un composant essentiel de la sécurisation de l’infrastructure informatique de l’entreprise.
Les données transitant via les réseaux doivent être filtrées par un parefeu afin d’éviter les intrusions malveillantes.
L’installation d’un parefeu n’est cependant pas suffisante, il s’agit ensuite de le paramétrer en adéquation avec la politique de sécurité informatique établie par l’entreprise.

Les solutions de parefeu disponibles sur le marché sont nombreuses et offrent différents niveaux de sécurisation et différentes fonctionnalités, le choix peut donc s’avérer complexe !
C’est pourquoi nous proposons différents types de solution pare feu pour pouvoir répondre aux besoins de l’ensemble des entreprises entre 20 et 2000 salariés.


Pour savoir où vous en êtes avec la sécurité de votre informatique et si vous avez mis en place les préconisations de base, prenez quelques minutes pour répondre au questionnaire ci-dessous :

1- Sécurisez-vous votre accès internet ?
2- Connaissez-vous la personne qui vérifie le filtrage web ?
3- Gérez-vous les accès à distance ?
4- Savez-vous de quand date la dernière sauvegarde de vos équipements de sécurité ?
5- Etes-vous en capacité d'identifier la source d'un problème de sécurité informatique (virus, cryptolocker, attaque internet) ?

Et pour allez plus loin, vous pouvez également prendre connaissance du Guide des bonnes pratiques informatiques édité par l’ANSSI et la CGPME en cliquant ici.

Nos équipes restent à votre entière disposition pour répondre à vos questions : Liliane Lacombe : 05 62 16 76 01 liliane.lacombe@inforsud.com