Le 12 mai 2017, une gigantesque cyberattaque de ransomware baptisée WannaCry s'est répandue sur le Web, chiffrant les fichiers de données de victimes dans plus de 150 pays. Le malware a frappé des milliers d'individus et des institutions importantes dans le monde entier, comme FedEx ou les National Health Services en Grande-Bretagne, Telefonica en Espagne, le fabricant automobile Renault en France et même la police d'état en Inde.
Les ordinateurs chiffrés affichent des messages de rançon de centaines de dollars en bitcoins, sans garantie de déverrouillage des fichiers.
Comment WannaCry se propage-t-il ?
L'incroyable vitesse de WannaCry a pris le monde par surprise, s'étendant à des centaines de milliers d'ordinateurs infectés en quelques heures seulement. Cette rapidité et cette portée sont en grande partie attribuables à deux ou trois facteurs :
Tout d'abord, les ransomwares se propagent via des pièces jointes infectées ou des sites Web et WannaCry incorpore également des vers, qui n'ont rien à voir avec ceux de votre jardin. Les vers informatiques ne se propagent pas en infectant les fichiers, comme les virus, mais plutôt par l'intermédiaire des réseaux, à la recherche de vulnérabilités sur d'autres ordinateurs connectés. Ainsi, une fois qu'il a infecté un ordinateur dans un réseau, il peut se déplacer pour tous les infecter.
WannaCry : utilisation d'un exploit Windows prétendument développé par la NSA
Par ailleurs, le ver de WannaCry s'appuie sur un exploit prétendument développé par la NSA et s'est publiquement répandu par l'intermédiaire de l'organisation de pirates The Shadow Brokers. L'exploit profite d'une vulnérabilité dans le protocole SMB (Server Message Block) de Windows utilisé par les appareils pour communiquer sur un réseau partagé. Il a plus particulièrement recherché n'importe quel PC avec le port TCP Samba 445 accessible.
Avant de faire l'objet d'une fuite, cet exploit était inconnu du monde entier (menace zero-day) et Microsoft n'a pu publier un correctif qu'en mars. Des millions de personnes n'ont pourtant pas encore installé les correctifs et les anciennes versions de Windows qui ne sont plus prises en charge par Microsoft n'ont pas du tout reçu d'invite de mise à jour. Microsoft a depuis rendu les correctifs disponibles même pour les systèmes plus anciens. Si vous utilisez Windows 8 ou une version antérieure, vous devriez les installer sans attendre.
Maintenant que le génie est sorti de la lampe, on peut s'attendre à voir de nouvelles variantes de ce ransomware.
Qui a été frappé par le ransomware ?
Selon nos données, les 10 principaux pays touchés sont (dans l'ordre) : la Russie, l'Ukraine, Taïwan, l'Inde, le Brésil, la Thaïlande, la Roumanie, les Philippines, l'Arménie et le Pakistan. Plus de la moitié des tentatives d'attaques que nous avons enregistrées se sont produites en Russie.
Les grandes institutions ont également été durement touchées, en particulier les hôpitaux et autres services publics. Beaucoup d'entre eux sont équipés de systèmes obsolètes et ne peuvent tout simplement pas les mettre à jour.
Mais de nombreuses personnes n'ont pas réussi à installer les correctifs de sécurité publiés en mars. Les anciennes versions Windows qui ne sont plus prises en charge par Microsoft n'avaient même pas de correctifs de sécurité à installer avant le weekend de l'attaque.
Existe-t-il un risque pour mon ordinateur d'être attaqué par WannaCry ?
Si vous utilisez une machine Windows, vous êtes potentiellement vulnérable à ce ransomware. Voici quelques-unes des mesures que vous devriez prendre immédiatement pour rester protégé :
1. Mettre à jour votre système d'exploitation Windows avec les derniers correctifs de sécurité
Microsoft a publié des mises à jour de sécurité Windows pour cette vulnérabilité lorsqu'elle a été divulguée par les Shadow Brokers en mars. Il s'agissait d'une faille suffisamment grave qui a fait l'objet d'une publication de correctifs de sécurité pour les versions de Windows qui ne sont plus prises en charge, comme Windows XP et Vista (Retrouvez-les ici).
Cependant, des millions d'utilisateurs ont ignoré ces mises à jour. Ne faites pas comme eux.
2. Installer un antivirus à jour si ce n'est pas déjà le cas
L'exploit de la NSA a été rapidement réaffecté pour cause de virus. S'appuyer sur les correctifs de sécurité de Microsoft contre les attaques ne suffit donc pas. Une nouvelle variante est probablement en cours d'élaboration. Un bon programme antivirus qui inclut des capacités anti-ransomware est essentiel pour vaincre la menace en constante évolution des ransomwares.
3. Commencer à faire des sauvegardes de votre PC
Si vous êtes comme la plupart des utilisateurs, vous avez probablement déjà entendu ce conseil et vous l'avez ignoré. Mais avec le prix bas des disques durs externes et la facilité d'exécution des sauvegardes, il n'y a pas d'excuse pour ne pas réaliser de sauvegarde. Les sauvegardes hebdomadaires sont plus que suffisantes pour la plupart des utilisateurs et peuvent vous éviter énormément de problèmes dans le cas où vous seriez infecté.
4. Se méfier des e-mails de phishing et des liens
Alors que le ver de WannaCry l'a aidé à se propager, il s'est appuyé sur les e-mails de phishing habituels et les liens frauduleux pour commencer à s'introduire. Assurez-vous de vérifier les e-mails et les liens avant de cliquer dessus. Vous ne savez pas quoi rechercher ? Nous avons un test pratique prévu à cet effet..
AVG bloque-t-il WannaCry ?
Oui. Tous les produits de sécurité AVG détectent le ransomware WannaCry. Même AVG AntiVirus GRATUIT va au-delà de la détection des signatures de code normales et examine le comportement réel des applications installées. Même si nous ignorons de quoi la prochaine variante sera capable, nous l'arrêteront dès qu'elle passera à l'action.
J'ai été infecté par WannaCry. Que dois-je faire ?
Le même aspect qui rend le chiffrement aussi puissant lorsqu'il est utilisé pour protéger des informations le transforme aussi en réel problème lorsqu'il est utilisé au service du mal. Si votre ordinateur est infecté par le ransomware WannaCry, vous devriez vous préparer à la possibilité de ne jamais pouvoir récupérer vos données. Voici quelques recommandations si vous êtes infecté :
1. Ne pas payer la rançon
Quoi qu'il arrive, nous vous recommandons de ne pas payer la rançon. Nous savons que ce conseil ne semble pas très pertinent lorsque vos photos personnelles ou vos fichiers de travail importants sont en jeu. Mais il n'existe aucune garantie que vos fichiers soient déchiffrés ou que les auteurs ne puissent pas s'enfuir avec l'argent.
Ne jamais payer de rançon : il n'y a aucune garantie de récupérer vos fichiers
Le paiement ne fait que légitimer ces situations. Tout contact avec les pirates leur donne plus de chances de vous infecter avec encore plus de malwares.
2. Déconnecter votre ordinateur d'Internet
Retirez la fiche de votre routeur Wi-Fi, retirez les câbles Ethernet de votre ordinateur. Isolez votre PC du Web le plus rapidement possible. Empêchez le malware de se propager sur d'autres postes ou de recevoir plus d'instructions de la part de celui qui l'a créé.
3. Restaurer à partir d'une sauvegarde
Si vous avez suivi les meilleures pratiques et que vous avez une sauvegarde sur un disque dur externe, vous pouvez l'utiliser pour récupérer vos données. Assurez-vous d'effectuer un nettoyage complet de votre système et de réinstaller complètement Windows avant de connecter votre sauvegarde à votre ordinateur. Idéalement, ne le laissez même pas se connecter à Internet pendant que votre disque dur de sauvegarde est connecté, juste au cas où.
4. Restauration à partir de Dropbox, Google Drive ou d'un autre stockage sur cloud
Si vous avez sauvegardé des fichiers via un stockage en ligne, il est possible que vos fichiers locaux aient été chiffrés, puis synchronisés avec le cloud. La première chose à faire est de désynchroniser votre smartphone, tablette ou tout autre appareil connecté au cloud dès que vous le pouvez.
Ensuite, accédez au service via un navigateur sur un ordinateur non infecté. Vous devriez être en mesure d'accéder à l'historique des versions de vos fichiers et de les restaurer dans les états non chiffrés antérieurs.
5. Utiliser un outil de déchiffrement de ransomware
Nous travaillons d'arrache-pied sur un outil de déchiffrement qui pourrait être en mesure de récupérer vos fichiers. Lorsqu'il sera prêt, vous pourrez le retrouver ici.