{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Sont affect\u00e9s :</P>  <UL>    <LI>les syt\u00e8mes d'exploitation Windows vuln\u00e9rables et en r\u00e9seau    maintenus par l'\u00e9diteur sur lesquels le correctif MS17-010    n'aurait pas \u00e9t\u00e9 install\u00e9 ;</LI>    <LI>les syt\u00e8mes d'exploitation Windows vuln\u00e9rables obsol\u00e8tes et    en r\u00e9seau (Windows XP, Windows Server 2003, Windows 8, Windows    Vista, Windows Server 2008, WES09 et POSReady 2009) sur    lesquels le correctif KB4012598 n'aurait pas \u00e9t\u00e9 install\u00e9    ;</LI>    <LI>tous les syt\u00e8mes d'exploitation Windows sur lesquels un    utilisateur ouvrirait la pi\u00e8ce jointe malveillante.</LI>  </UL>","closed_at":"2017-06-27","content":"## Vecteurs d'infection\n\nLe vecteur d'infection initial pourrait \u00eatre un courriel avec une pi\u00e8ce\njointe malveillante.\n\nLe programme malveillant ensuite ex\u00e9cut\u00e9 peut \u00eatre vu comme constitu\u00e9 de\ndeux parties :\n\n-   un composant charg\u00e9 de la propagation via le r\u00e9seau en exploitant\n    une vuln\u00e9rabilit\u00e9 SMB ;\n-   un ran\u00e7ongiciel.\n\n## Contournement provisoire\n\n## Recommandations\n\nLe CERT-FR recommande :\n\n-   l'application imm\u00e9diate des mises \u00e0 jour de s\u00e9curit\u00e9 permettant de\n    corriger les failles exploit\u00e9es pour la propagation (MS17-010 pour\n    les syst\u00e8mes maintenus par l'\u00e9diteur) ;\n-   le respect des recommandations g\u00e9n\u00e9riques relatives aux\n    ran\u00e7ongiciels ;\n-   de limiter l'exposition du service SMB, en particulier sur internet.\n\nUn correctif de l'\u00e9diteur est aussi disponible pour les syst\u00e8mes\nobsol\u00e8tes suivants :\n\n-   Windows XP SP2 pour processeurs x64 ;\n-   Windows Server 2003 ;\n-   Windows XP SP3 pour XPe ;\n-   Windows XP SP3 ;\n-   Windows Vista ;\n-   Windows Server 2008 ;\n-   WES09 et POSReady 2009 ;\n\nIl peut \u00eatre t\u00e9l\u00e9charg\u00e9 depuis\n<https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598>.\n\n## Pr\u00e9vention\n\nDe mani\u00e8re pr\u00e9ventive, s'il n'est pas possible de mettre \u00e0 jour un\nserveur, il est recommand\u00e9 de l'isoler logiquement, voire de l'\u00e9teindre\nle temps d'appliquer les mesures adapt\u00e9es de protection.\n\nLa d\u00e9sactivation du protocole SMBv1 peut \u00eatre un plus mais ne saurait\nremplacer l'installation des correctifs.\n\n## R\u00e9cup\u00e9ration des donn\u00e9es chiffr\u00e9es par WannaCrypt\n\nEn cas d'infection par la version actuelle du ran\u00e7ongiciel WannaCrypt\nsous Windows XP, Windows 2003 et Windows 7 dans ses versions x86, une\ntentative de d\u00e9chiffrement de vos donn\u00e9es peut \u00eatre effectu\u00e9e \u00e0 l'aide\ndes outils WanaKiwi, ou bien WannaKey accompagn\u00e9 de Wanafork. Ces outils\nsont disponibles en source ouverte depuis\n<https://github.com/gentilkiwi/wanakiwi/releases>,\n<https://github.com/aguinet/wannakey> et\n<https://github.com/odzhan/wanafork/>.\n\nCette op\u00e9ration n'est pas garantie de fonctionner mais n'alt\u00e9rera aucun\nfichier en cas d'\u00e9chec. Afin d'am\u00e9liorer les chances de r\u00e9ussite de ces\noutils, le CERT-FR recommande de suivre les proc\u00e9dures suivantes :\n\n-   Le syst\u00e8me ne doit pas avoir \u00e9t\u00e9 red\u00e9marr\u00e9 apr\u00e8s l'infection, auquel\n    cas les outils cit\u00e9s ci-dessus ne fonctionneront pas;\n-   Il est d\u00e9conseill\u00e9 de manipuler le syst\u00e8me apr\u00e8s infection, mis \u00e0\n    part pour lancer les outils de r\u00e9cup\u00e9ration des donn\u00e9es chiffr\u00e9es.\n\nEn cas de r\u00e9ussite, les fichiers chiffr\u00e9s (.WNCRY) sont gard\u00e9s intacts\net les donn\u00e9es d\u00e9chiffr\u00e9s sont enregistr\u00e9es dans des fichiers s\u00e9par\u00e9s.\n\n## Mesures r\u00e9actives\n\nSi le code malveillant est d\u00e9couvert sur vos syst\u00e8mes, le CERT-FR\nrecommande de d\u00e9connecter imm\u00e9diatement du r\u00e9seau les machines\nidentifi\u00e9es comme compromises. L'objectif est de bloquer la poursuite du\nchiffrement et la destruction des documents partag\u00e9s.\n\nLe CERT-FR recommande aussi d'alerter le responsable s\u00e9curit\u00e9 ou le\nservice informatique au plus t\u00f4t.\n\nAussi, le CERT-FR recommande de prendre le temps de sauvegarder les\nfichiers importants sur des supports de donn\u00e9es isol\u00e9s. Ces fichiers\npeuvent \u00eatre alt\u00e9r\u00e9s ou encore \u00eatre infect\u00e9s. Il convient donc de les\ntraiter comme tels. De plus, les sauvegardes ant\u00e9rieures doivent \u00eatre\npr\u00e9serv\u00e9es d'\u00e9crasement par des sauvegardes plus r\u00e9centes.\n\nLe bulletin d'actualit\u00e9 CERTFR-2015-ACT-004 pr\u00e9cise de mani\u00e8re plus\ncompl\u00e8te les mesures \u00e0 appliquer (cf. section Documentation).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"wanakiwi","url":"https://github.com/gentilkiwi/wanakiwi/releases"},{"title":"CERTFR-2017-AVI-082","url":"http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-082/index.html"},{"title":"wannacrypt-ransomware-worm-targets-out-of-date-systems","url":"https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/"},{"title":"disablesmb1","url":"https://aka.ms/disablesmb1"},{"title":"CERTFR-2015-ACT-004","url":"http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-004/index.html"},{"title":"wannakey","url":"https://github.com/aguinet/wannakey"},{"title":"CERTFR-2017-ACT-019","url":"http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-019/index.html"},{"title":"technet.microsoft.com","url":"https://technet.microsoft.com/fr-fr/library/security/MS17-010"},{"title":"CERTFR-2017-ACT-016","url":"http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-016/index.html"},{"title":"customer-guidance-for-wannacrypt-attacks","url":"https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/"},{"title":"wanafork","url":"https://github.com/odzhan/wanafork/"},{"title":"Microsoft","url":"https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598"}],"reference":"CERTFR-2017-ALE-010","revisions":[{"description":"version initiale ;","revision_date":"2017-05-12T00:00:00.000000"},{"description":"mise \u00e0 jour ;","revision_date":"2017-05-13T00:00:00.000000"},{"description":"ajout de la sous-section \"R\u00e9cup\u00e9ration des donn\u00e9es chiffr\u00e9es par WannaCrypt\" ;","revision_date":"2017-05-19T00:00:00.000000"},{"description":"cl\u00f4ture de l'alerte.","revision_date":"2017-06-27T00:00:00.000000"}],"risks":[{"description":"Non sp\u00e9cifi\u00e9 par l'\u00e9diteur"}],"summary":"Le CERT-FR constate l'apparition d'un nouveau ran\u00e7ongiciel qui exploite\ndes vuln\u00e9rabilit\u00e9s d'ex\u00e9cution de code \u00e0 distance pour se propager. Ces\nvuln\u00e9rabilit\u00e9s sont celles d\u00e9crites dans le bulletin de s\u00e9curit\u00e9\nMS17-010 (cf. CERTFR-2017-AVI-082, section Documentation).\n\nL'attention est attir\u00e9e sur le fait que :\n\n-   plusieurs variantes du ran\u00e7ongiciel ont pu \u00eatre distribu\u00e9es ;\n-   le composant ran\u00e7ongiciel a pu \u00eatre remplac\u00e9 dans certains cas par\n    un composant moins visible.\n","title":"Propagation d'un ran\u00e7ongiciel exploitant les vuln\u00e9rabilit\u00e9s MS17-010","vendor_advisories":[]}