Infection et correctifs

La Suisse, où l’immense majorité des ordinateurs fonctionne sous des versions plus récentes de Windows (7, 8 ou 10), ne semble pas avoir été touchée de manière massive. Mais les correctifs existent pour les versions d’ OS suivants:  Windows XP SP2 pour processeurs x64 ; Windows Server 2003 ; Windows XP SP3 pour XPe ; Windows XP SP3 ; Windows Vista ; Windows Server 2008 ; WES09 et POSReady 2009.

Ces vulnérabilités sont celles décrites dans le bulletin de sécurité MS17-010 (cf. CERTFR-2017-AVI-082)
Le patch est dispo ici : PATCH KB4012598

Le vecteur d’infection initial pourrait être un courriel avec une pièce jointe malveillante.
Ce rançongiciel a perturbé de nombreuses entreprises (petites et grandes) ainsi que de nombreux particuliers. Prudence en ce lundi. Vous avez peut-être reçu le courriel piégé et, en allumant votre ordinateur, lui donner la possibilité d’agir de nouveau. Pour vous assurer que tout va bien, alertez le/les informaticiens de votre entreprise ; assurez-vous d’avoir les dernières mises à jour installées dans votre ordinateur. Avec l’informatique, la prudence est de rigueur d’autant qu’une seconde version de ce ransomware a été détectée. Europol parle d’au moins 200.000 victimes dans au moins 150 pays. Évitons de faire grossir ce tableau de chasse 2.0. Il existe deux variantes de WannaCry avec le « Killswitch », et une version sans. Cette nouvelle attaque cache très certainement une tentative de contournement de certains types de moteurs d’analyse dynamique qui répondent automatiquement aux demandes GET arbitraires, empêchant ainsi la détection. L’un des conseils, virer JavaScript (JS) de votre outil de lecture de courriers électroniques. Il y a un interpréteur JS dans les principaux outils de messagerie, notamment Outlook. L’attaque se lance via la fenêtre de « pré affichage » du message. Bilan, le JavaScript est exécuté. Bye-Bye le contenu de l’ordinateur !
Recommandations :
– l’application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010 pour les systèmes maintenus par l’éditeur) ;
– le respect des recommandations génériques relatives aux rançongiciels ;
– limiter l’exposition du service SMB, en particulier sur internet.

°°°°°°°°°°°°°°°°°°°°°°

Bon, pour finir quelques recommandations :

1/ Faites la mise à jour de votre Windows.
2/ N’utilisez plus XP, NT4, Windows 2000/2003, et passez à un Windows récent.
3/ Désactivez le service SMB de Windows si vous ne pouvez pas patcher la machine.
4/ Installez des outils comme RansomFree pour bloquer d’éventuels futurs ransomwares (et ne cliquez pas sur les pièces jointes de mails bizarres !!)
5/ Bloquez les ports 445, 139 et 3389 avec votre firewall

 

Publié par le 15 mai 2017. Classé dans ORIGINAL TECH. Vous pouvez suivre les réponses de cet article via le RSS 2.0. Vous pouvez laisser une réponse ou un trackback sur cet article

Vous devez être connecté pour poster un commentaire Connexion