Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTFR-2017-ALE-010

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 12 mai 2017
No CERTFR-2017-ALE-010

Affaire suivie par :

CERT-FR

BULLETIN D'ALERTE DU CERT-FR

Objet : Propagation d'un rançongiciel exploitant les vulnérabilités MS17-010

Gestion du document


Tableau 1: Gestion du document
Référence CERTFR-2017-ALE-010
Titre Propagation d'un rançongiciel exploitant les vulnérabilités MS17-010
Date de la première version 12 mai 2017
Date de la dernière version 19 mai 2017
Source(s) -
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 - Risque(s)

Installation et propagation d'un logiciel malveillant de type rançongiciel, voire, à terme, d'autres logiciels malveillants.

2 - Vecteurs d'infection

Le vecteur d'infection initial pourrait être un courriel avec une pièce jointe malveillante.

Le programme malveillant ensuite exécuté peut être vu comme constitué de deux parties :

  • un composant chargé de la propagation via le réseau en exploitant une vulnérabilité SMB ;
  • un rançongiciel.

3 - Systèmes affectés

Sont affectés :

  • les sytèmes d'exploitation Windows vulnérables et en réseau maintenus par l'éditeur sur lesquels le correctif MS17-010 n'aurait pas été installé ;
  • les sytèmes d'exploitation Windows vulnérables obsolètes et en réseau (Windows XP, Windows Server 2003, Windows 8, Windows Vista, Windows Server 2008, WES09 et POSReady 2009) sur lesquels le correctif KB4012598 n'aurait pas été installé ;
  • tous les sytèmes d'exploitation Windows sur lesquels un utilisateur ouvrirait la pièce jointe malveillante.

4 - Résumé

Le CERT-FR constate l'apparition d'un nouveau rançongiciel qui exploite des vulnérabilités d'exécution de code à distance pour se propager. Ces vulnérabilités sont celles décrites dans le bulletin de sécurité MS17-010 (cf. CERTFR-2017-AVI-082, section Documentation).

L'attention est attirée sur le fait que :

  • plusieurs variantes du rançongiciel ont pu être distribuées ;
  • le composant rançongiciel a pu être remplacé dans certains cas par un composant moins visible.

5 - Contournement provisoire

Recommandations

Le CERT-FR recommande :

  • l'application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010 pour les systèmes maintenus par l'éditeur) ;
  • le respect des recommandations génériques relatives aux rançongiciels ;
  • de limiter l'exposition du service SMB, en particulier sur internet.

Un correctif de l'éditeur est aussi disponible pour les systèmes obsolètes suivants :

  • Windows XP SP2 pour processeurs x64 ;
  • Windows Server 2003 ;
  • Windows XP SP3 pour XPe ;
  • Windows XP SP3 ;
  • Windows Vista ;
  • Windows Server 2008 ;
  • WES09 et POSReady 2009 ;

Il peut être téléchargé depuis https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.

Prévention

De manière préventive, s'il n'est pas possible de mettre à jour un serveur, il est recommandé de l'isoler logiquement, voire de l'éteindre le temps d'appliquer les mesures adaptées de protection.

La désactivation du protocole SMBv1 peut être un plus mais ne saurait remplacer l'installation des correctifs.

Récupération des données chiffrées par WannaCrypt

En cas d'infection par la version actuelle du rançongiciel WannaCrypt sous Windows XP, Windows 2003 et Windows 7 dans ses versions x86, une tentative de déchiffrement de vos données peut être effectuée à l'aide des outils WanaKiwi, ou bien WannaKey accompagné de Wanafork. Ces outils sont disponibles en source ouverte depuis https://github.com/gentilkiwi/wanakiwi/releases, https://github.com/aguinet/wannakey et https://github.com/odzhan/wanafork/.

Cette opération n'est pas garantie de fonctionner mais n'altérera aucun fichier en cas d'échec. Afin d'améliorer les chances de réussite de ces outils, le CERT-FR recommande de suivre les procédures suivantes :

  • Le système ne doit pas avoir été redémarré après l'infection, auquel cas les outils cités ci-dessus ne fonctionneront pas;
  • Il est déconseillé de manipuler le système après infection, mis à part pour lancer les outils de récupération des données chiffrées.

En cas de réussite, les fichiers chiffrés (.WNCRY) sont gardés intacts et les données déchiffrés sont enregistrées dans des fichiers séparés.

6 - Mesures réactives

Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.

Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service informatique au plus tôt.

Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

Le bulletin d'actualité CERTFR-2015-ACT-004 précise de manière plus complète les mesures à appliquer (cf. section Documentation).

7 - Documentation

Concernant le rançongiciel WannaCrypt et les correctifs

Désactivation de SMBv1

Autres

Gestion détaillée du document

12 mai 2017
version initiale ;
13 mai 2017
mise à jour ;
19 mai 2017
ajout de la sous-section "Récupération des données chiffrées par WannaCrypt".
Dernière version de ce document : http://cert.ssi.gouv.fr/site/CERTFR-2017-ALE-010

CERT-FR
2017-05-19
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-05-22