WannaCry - Et bien pleurez maintenant

Publié initialement à : https://korben.info/wannacry-bien-pleurez.html

Comment ça, je n’ai pas parlé de WannaCry sur ce blog alors que même sur TF1 et BFM ils en ont causé ? Et bien désolé, mais j’étais de mariage et j’ai passé mon week-end sur la route et à faire la fiesta :wink: Mais je sais que certains d’entre vous ont passé un mauvais…

1 « J'aime »

ransomfree et pas ransomfe dans ton article :wink:

merci pour les infos.

ps :D’après un pote bien placé, il a bossé sur les emails et rien ; le vecteur ne vient pas de là. Il a donc contacté d’ancien pirates (rangé depuis) et rien non plus (ils ont bossés sur le sujet).
Le soucis est autre-part.

Le vecteur c’est la faille SMB de Windows.

Je vais corriger la faute, merci

en réseau local SMBv1, semble que le vecteur autrement c’est les emails. pas sûr.

pour ceux qui ont pas fait leur mise à jour sous xp
http://download.wsusoffline.net/wsusoffline921.zip
décompréssez
lancer UpdateGenerator.exe
aller dans l’onglet legacy
cochez French (32bits) puis start
il va charger pré-charger les updates sauf celui d’urgence (qui a besoin si je ne me trompe pas du sp3)
En fin de chargement rendez-vous dans le sous dossier CLIENT.
Vous allez voir un fichier Update.cmd : cliquez droit exécutez en administrateur et attendez que toutes les mises à jour soient installées.
Ensuite télécharger le patch pour xp adapté dont je n’ai pas le lien à l’instant.
@+

J’y comprends plus rien, sur le web tout le monde parle d’un fichier pdf envoyé par mail.
Et là ça serait de l’injection direct si un de ses 3 ports est ouvert ?

à la base faut bien que le virus soit lancé sur une machine dans le réseau local, il arrive donc comme d’hab via un bon gros mail foireux qu’un utilisateur va bien sûr ouvrir et hop !

P.s: Korben la mise à jour XP dispo sur leur site est uniquement pour les XP “embedded” donc ça s’installera pas sur un XP classique sans bidouille.

1 « J'aime »

Comme les autres, je suis surpris que Korben ne mentionne pas le vieux mail pourri pour se faire infecter ? la presse et la police sont très mauvais … mais Korben ? Alors je ne sais pas hein si c’est le cas, mais … ca parait plus que logique. Plus logique que de dire … désactiver le SMB, mais bien sur, non seulement ca ne prévient pas l’infection du tout, à priori, mais demander à couper son réseau ? rien que ca ? mais c’est quoi le délire ca arrive bien par internet, et non pas réseau local ?

Alors je vais préciser la chose :slight_smile:

Désactiver SMB sur les machines que tu ne peux pas patcher.
Oui, initialement par mail comme tous les ransomwares mais après ça exploite la faille SMB pour se répandre en local.

Je vais rajouter ces précisions dans mon article.

Merci

1 « J'aime »

Oui, le vecteur initial c’est l’email mais ensuite en local ça exploite la faille SMB.

Pour info, il y a une deuxieme url utilisée, et on commence à voir des versions sans killswitch
2eme url : ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Bonjour,
Quelles extension donne ce virus ? avec locky c’était .locky mais là ? Comment être certain de ne pas être infecté ? Bien sur tous est à jour sur ma machine Windows 10, eset smart security et malwarbyte (j’ai aussi rajouté RamsonFree et j’avais celui de malwar avant) Car ce qui me fait le plus peur c’est mes machines en réseau, j’ai installé il y a peu des machines sous windows 7 donc je psychote un peu ^^

Si tu as tes machines à jours avec la MAJ datant de mi-mars y’a pas de problèmes (en tout cas pour la faille utilisée pour la propagation)

C’est bien, les mises à jour, mais encore faut-il que ça marche… ce qui n’est pas le cas chez moi depuis quelques temps : un jour la mise à jour mensuelle W7 a foiré (au redémarrage, donc annulation de la MAJ) et malgré toutes les incantations microsoftiennes d’usage, pas moyen de la faire marcher. Ma machine doit être trop vieille (d’ailleurs j’ai assisté à une assez jolie partie de ping pong entre l’utilitaire qui me proposait de passer gratuitement à W10 et le test d’installation qui me disait que ma carte graphique – en fait le GPU du proc – n’était pas supporté par W10)

Comme j’aime les vieilleries, j’ai un scanner diapo qui ne fonctionne que sous XP (que je continue à mettre à jour grâce aux conseils donnés ici pour le faire passer pour un “embedded” – merci Korben ! ) sauf que ce mois ci, en lançant comme d’habitude Windows Update dès le démarrage, j’ai eu la surprise de me faire accueillir par un message disant que IE8 n’était plus supporté… Bof bof La procédure automatique par contre semble toujours fonctionner.

Bref, sur mon poste en triple boot, y’a que Linux qui s’est toujours met à jour sans soucis :slight_smile:

Sinon, le seul bénéfice de cette histoire, c’est que les gens (comme dirait Mélenchon) vont peut-être enfin se mettre à faire des sauvegardes ! (et qu’accessoirement, va éventuellement se mettre en place une chasse aux pirates un peu plus sérieuse que pour l’instant, le spam n’ayant jamais vraiment été considéré comme une nuisance puisque profitant aussi à pas mal de commerçant ayant pignon sur rue… je pressens en corollaire encore un peu moins de liberté et un peu plus de flicage généralisé sur Internet… soupir)

1 « J'aime »

Le patch pris directement sur le site MS s’installe sans souci sur XP Pro.

Est ce vraiment bien de conseiller un outil comme RamsonFree alors qu’il ne fait visiblement pas le job?? (lien ci-dessous de Tech2Tech)
Le test de RamsonFree

Je ne pense pas que ça soit avec ces outils “gratuit” que l’on se protége efficacement.

Moi il me jette :frowning: j’ai un XP SP3 sur un vieux EEE-PC

1 « J'aime »

J’ai failli prendre le mauvais lien au départ (embedded) mais il y a bien aussi la version XP SP3 32 bits, tu as bien celle-là ? (même si je sais que tu n’es pas un débutant :wink:
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-fra_eb47689656c58ab374521babb9bdca07304d87f5.exe

Pris ici : http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Bonjour,

Quand même, si j’ai bien suivi, la faille exploitée par le NSA ne concerne que la diffusion sur le réseau local, il faut encore infecter un ordi Windows du réseau local, et pour cela avoir à la fois un utilisateur assez stupide pour ouvrir je ne sais quelle pièce attachée, puis derrière un docm, puis derrière passer outre les messages d’avertissement, mais aussi et surtout un administrateur idiot qui ne met ni antivirus ni mises à jour récentes sur ses postes Windows, non ? Il me semble selon leurs dires qu’un Avast ou un AVG de base gratuits les chopent…

Si c’est ça, l’administrateur mérite une faute grave.

Pour les hôpitaux anglais on n’est pas surpris, mais quand je pense que les mecs de l’informatique de Renault cassent les ******* aux fournisseurs avec la sécurité au risque de les empêcher de faire leur boulot, mais qu’ils laissent des sites de production visiblement sans aucune protection…

Je délire ou c’est le cas ?

1 « J'aime »