Passer au contenu

Windows 7 à l’origine de la propagation du ransomware WannaCry

Initialement pointé du doigt du fait de son ancienneté, Windows XP n’aura finalement joué qu’un rôle minime dans la propagation du ransomware WannaCry. Windows 7 est en effet responsable de 98 % des infections constatées dans le monde. Des Français ont néanmoins conçu une solution pour Windows XP à 7.

Une semaine après l’attaque mondiale stoppée par l’intervention inopinée d’un jeune hacker anglais devenu héros malgré lui, les experts travaillent à déterminer comment Wannacry a pu se répandre aussi rapidement. Les premiers résultats désignent un suspect : Windows 7. D’après les experts de Kaspersky Lab, Windows 7 est le principal système à l’origine de la propagation fulgurante du virus. 98 % des systèmes infectés tournaient sous cette version de l’os de Microsoft, la plus utilisée à travers le monde devant Windows 10.

Windows 7 représente 98% des infections

La version 64 bits de Windows 7 a été la plus touchée, avec 60,35 % de toutes les infections, suivi de Windows 7 (31,72 %) et Windows 7 Home. Windows 2008 R2 Serveur a également été affecté et représente un peu plus de 1 % des attaques.

capture d’écran – Kaspersky Lab

Windows XP de son côté est responsable d’à peine 0.03 % des infections, une paille !

L’ancien OS de Microsoft, jugé obsolète, est désormais lavé de tous soupçons alors que les regards se tournaient vers lui dans les premiers jours de l’attaque. Son ancienneté n’a pas joué en sa faveur : Microsoft a stoppé tout support depuis 2014. Après un premier correctif de sécurité publié en mars dernier, Microsoft assurait avoir patché les vulnérabilités repérées et exploitées par la NSA, dont l’arsenal cybernétique venait d’être diffusé par les Shadow Brokers.

Des Français à l’origine d’une solution contre WannaCry

Par ailleurs, si vous faites partie de centaines de milliers de personnes victimes du ransomware Wannacry (ou Wanacryt0r 2.0 ou Wannacrypt), sachez qu’il existe des solutions pour déchiffrer vos données – seulement si vous n’avez pas rebooté votre ordinateur entre temps.

Ces solutions ont été conçues par des experts français qui ont travaillé de concert, mais à distance : Matthieu Suiche, hacker autodidacte mondialement connu, Benjamin Delpy, aka « gentilkiwi », directeur de Projets Sécurité à la Banque de France, dont la solution se base sur OpenSSL et sur celle, plus ancienne, d’Alain Guinet, baptisée « WannaKey ».

Ce programme, conçu par cet expert en sécurité informatique travaillant pour la start-up française Quarlslab, repère la clé RSA de WannaCry sur les ordinateurs infectés. Wannakey, disponible sur Github, ne cherche pas la clé réelle, mais les nombres premiers en mémoire pour recalculer la clé elle-même. Le programme « Wanakiwi », créé par Delpy, vient ensuite récupérer les données cryptées sur Windows XP, 7 et version antérieure.

Disponible sur Windows XP à 7

« WanaKiwi recrée également les fichiers .dky attendus du ransomware par les attaquants, ce qui le rend compatible avec le ransomware lui-même. Cela empêche également WannaCry de chiffrer d’autres fichiers », a précisé le jeune hacker sur son blog.

Toutefois, cette solution fonctionne uniquement si les ordinateurs n’ont pas été redémarrés après l’infection. « Si on a redémarré son ordinateur, la suite de nombres premiers que WannaKiwi doit trouver aura sans doute disparu de la mémoire vive », indique Matthieu Suiche au Parisien.

Les trois experts, qui se surnomment avec humour #FrenchMafia insistent sur l’urgence à appliquer cette solution, la « mémoire se vide automatiquement au bout de sept jours ».

Le Centre européen de lutte contre la cybercriminalité (Ec3) d’Europol a testé et approuvé la solution.

Pour rappel, le ransomware (ou rançongiciel) WannaCry chiffre le contenu d’un ordinateur infecté et le rend inaccessible à son propriétaire. Celui-ci doit alors s’acquitter d’une rançon de 300 dollars en bitcoins pour le déverrouiller.

Plus de 200 000 victimes sont à dénombrer dans 150 pays. De grandes entreprises et des administrations ont été touchées par l’attaque, dont Renault ou le système de santé britannique, le NHS.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

18 commentaires
  1. En même temps… Windows 10 est pas touché a priori, et à part ça, la part de marché de windows 7 est immense… rien d’étonnant à ce qu’il regroupe la grande majorité des infection.

    1. Ne pas oublier que l’on parle d’un virus majoritairement professionnel, qui n’a absolument pas besoin de patch puisque c’est une tres classique attaque par mail. Et bien entendu win10 force les maj.

  2. Est-ce une solution qui peut s’appliquer de façon préventive? (le correctif de Grosoft pour empêcher l’infection n’arrivant pas à s’installer car tournant en boucle sur la recherche de Màj))

    1. Il n’y a pas de patch, puisque c’est une infection par mail tout ce qu’il y a de plus débile et habituel

      1. L’attaque par email est la première partie. Pour infecter, il utilise une faille de Windows pour s’installer et essayer de se dupliquer sur le réseau. Ce n’est pas un simple ransomware. Pour ça que l’attaque cause des dégâts. Dès qu’un poste est infecté, il peut se propager grâce à la faille.

        Pour le recherche de maj qui tourne en boucle, c’est un souci connu de Win7. Il faut arrêter le service Windows Update, supprimer son cache (supprimer ou renommer le dossier C:WindowsSoftwareDistribution), installer le patch KB3172605, redémarrer et relancer la recherche. En général, ça règle le souci.

        1. Oui on a bien compris votre lourde histoire de réseau, on n’a même compris que ca. Seulement voila, pour l’utilisateur pas en réseau, non seulement ca ne change rien, mais en plus le patch ne le protegerea en rien. Consequence => simple ransomware.

          1. Oui sauf que les ransomwares ciblent principalement les entreprises, celui là encore plus que les autres, et comme les pc d’entreprise sont en réseau, 1 PC infecté = tous les pc (et serveur) non à jour et connecté au réseau infectés, chose qui n’était pas vrai avec les autres ransomwares

      2. ça existe toujours NINfr? on s’est croisé 2 ou 3 lors de réunion à Paris et Lille il y à plusieurs années!

        1. Hey Kakal, oui la ml est toujours allumé quoique inactive, tu retrouveras l’equivalent sur facebook, avec peu d’anciens

    2. Il faut stopper le service windows update avant de lancer le correctif, et couper internet pour lui éviter les recherches de mises à jour inutiles.

  3. toujours aucune trace de mention de mail infecté dans cet article… Pourtant c’est la seule cause d’infection, et… IL N’EN A CLAIREMENT RIEN A FOUTRE DU PATCH WINDAUBE !!!! Alors pourquoi refuse t’on de nous dire à quoi ressemble ce mail si dangereux ? Ah attendez je sais : parceque personne ne l’a jamais vu en dehors des pros ! J’ai bon ?

    1. je pense surtout que les “pro” qui ont été infecté en ouvrant le mail ont du le supprimer dès que possible pour éviter que la boite remonte jusqu’à eux ( vu que c’est un virus qui, une fois installé, se repend sur le réseau et infecte tous les autres pc ).
      Comme le dit @ouille, l’attaque par email est la première partie.

      1. Comme le dit ouille et toute la presse pour rien, c’est exactement le problème. L’utilisateur lambda n’en a que faire de ce patch réseau qui ne l’aidera jamais.

        1. l’utilisateur lambda doit pas que craindre ce virus si il est du genre à ouvrir n’importe quel mail….

          Il faut voir les choses sous un autre angle :
          Un virus infecte des ordinateurs d’abord par mail. Si on doit rappeler aux gens qu’il ne faut pas ouvrir n’importe quel mail qu’il reçoive à chaque fois qu’un nouveau virus de ce style sort, faudrait faire minimum un article par jour la dessus ( j’ai bien dit minimum ).

          Après, parmi mon entourage, les utilisateurs dit “lambda”, je leur rappel 1 fois par mois de ne pas ouvrir n’importe quel mail, de ne pas brancher de clé usb qu’ils ont trouvé….etc…. et même malgré ça, des fois ils oublient et ils comptent sur moi pour réparer leurs bêtises. Donc bon, y a pas de solution ultime pour les utilisateurs lambda à part leur enlever les périphériques style USB et leur interdire internet….

Les commentaires sont fermés.

Mode