Logiciel de rançon WannaCry est la nouvelle et généralisée cyberpandémie qui a déjà pris en otage plus de 230 000 ordinateurs. Avec son volume de dispersion actuel, WannaCry se rapproche du niveau d'autres cybermenaces notoires telles que Cerber ou Locky.
Néanmoins, ce qui distingue WCry de ces deux parasites les plus dangereux de l'année dernière est l'utilisation de nouvelles techniques de distribution qui ne pas besoin que les victimes cliquent sur les liens infectés ou participent à l'acquisition du ransomware dans tout autre chemin.
Le malware utilise des pratiques et des outils utilisés par le renseignement américain pour pénétrer dans les ordinateurs et exécuter le script malveillant pour rendre les données de l'utilisateur inaccessibles. En particulier, le ransomware utilise l'exploit EternalBlue pour cibler les appareils Windows avec une vulnérabilité MS17-010 non corrigée. Cette faille de sécurité est ouverte sur les versions de Windows qui ne sont plus prises en charge et ne reçoivent aucune mise à jour de sécurité.
Heureusement, en réponse aux derniers événements, Microsoft a publié des correctifs d'urgence pour Windows XP, Windows Server 2003, Windows 8 et quelques autres systèmes d'exploitation obsolètes. Mais même la mise à jour du logiciel peut ne pas suffire à empêcher les attaques de ransomware.
Ci-dessous, nous fournirons des instructions sur la façon de désactiver la fonctionnalité SMB (Server Message Block) qui est utilisée pour déployer le malware WanaCrypt0r fichiers sur l'ordinateur. Mais avant de passer au didacticiel, nous souhaitons donner une brève définition du malware et de son comportement sur l'ordinateur infecté, pour vous aider à le reconnaître plus facilement.
Wannacry utilise différentes extensions pour marquer les fichiers cryptés
Comme vous l'avez peut-être remarqué, dans les paragraphes précédents, nous avons utilisé différents noms pour désigner le virus WannaCry. C'est à cause du virus, en effet, se déplace sous une variété de formes et de formes différentes, les plus susceptibles d'être plus difficiles à reconnaître et à éliminer.
La recherche a révélé que le virus utilise désormais quatre extensions différentes .wncry, .wncrytt, .wcry ou .wncryt pour marquer les fichiers cryptés, mais nous pouvons nous attendre à plus de variations à mesure que le ransomware se déclenche vitesse. Pour supprimer ces extensions et récupérer des fichiers, les utilisateurs doivent payer les extorqueurs jusqu'à 600 dollars en Bitcoin; sinon, les données cryptées seront détruites. @[email protégé] La fenêtre ouvre une minuterie qui décompte le temps jusqu'à la destruction des données. Malheureusement, il n'existe actuellement aucun logiciel de décryptage gratuit qui permettrait de récupérer gratuitement les données cryptées.
Ainsi, une fois que vous avez été infecté, vous ne pouvez vraiment rien faire pour faire reculer les conséquences de l'attaque. Il est donc beaucoup plus important de prendre des mesures et de protéger votre appareil avant qu'un virus ne s'installe sur votre système. Voici quelques étapes à suivre pour empêcher l'infiltration de WannaCry.
Comment désactiver SMB et empêcher l'attaque WannaCry ?
La fonction SMB (Server Message Block) est la principale vulnérabilité qui permet au ransomware d'infecter les ordinateurs. Étant donné que cette fonctionnalité est activée sur Windows par défaut, les extorqueurs peuvent facilement l'utiliser pour mener à bien l'attaque. Ainsi, nous vous recommandons fortement de le désactiver si vous ne l'utilisez pas. C'est vraiment simple et vous pouvez y parvenir en trois étapes de base :
- Cliquez sur le logo Windows dans le coin inférieur gauche de l'écran et tapez « Fonctionnalités Windows » dans la barre de recherche
- Ouvrez la fenêtre des fonctionnalités, accédez aux paramètres et recherchez l'entrée SMB. Décochez-le et cliquez sur OK
- Redémarrer le PC
Vous pouvez également désactiver SMB via PowerShell. Ce que vous devez faire est de taper "Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol". Une fois la fonction désactivée, nous vous recommandons de redémarrer l'ordinateur.