WannaCry Kill-Switch (ed)? Ce n'est pas fini!

WannaCry Kill-Switch (ed)? Ce n'est pas fini! WannaCry 2.0 Ransomware arrive

Si vous suivez les nouvelles, vous pourriez être conscient qu'un chercheur de sécurité a activé un "Kill Switch" qui a apparemment empêché que le ransomware WannaCry ne se propage plus loin.

Mais ce n'est pas vrai, la menace n'est pas encore terminée. 

Cependant, l'interrupteur de destruction a simplement ralenti le taux d'infection.

De plus, de nombreux chercheurs en sécurité ont affirmé que plus d'échantillons de WannaCry sont dans la nature sans fonction de connexion au domaine «kill-switch», appelée WannaCry 2.0, et qui infecte toujours les ordinateurs non répartis dans le monde entier.

Jusqu'à présent, plus de 213 000 ordinateurs dans 99 pays à travers le monde ont été infectés et l'infection augmente toujours même en heures après que le chercheur de sécurité britannique âgé de 22 ans a déclenché l'interruption de la tache derrière la poignée de Wikipédia 'MalwareTech'.

Pour ceux qui ne le savent pas, WannaCry est un logiciel malveillant de ransomware extrêmement rapide qui exploite un exploit SMB de Windows pour cibler à distance un ordinateur exécuté sur des versions non supprimées ou non prises en charge de Windows.

Jusqu'à présent, les criminels derrière WannaCry Ransomware ont reçu près de 100 paiements de victimes, totalisant 15 Bitcoins, équivalent à 26 090 USD.CLIQUEZ POUR TWEET

Une fois infecté, WannaCry scanne également les autres ordinateurs vulnérables connectés au même réseau, mais explore les hôtes aléatoires sur l'Internet plus large, pour se propager rapidement.

L'exploit de SMB, actuellement utilisé par WannaCry, a été identifié comme EternalBlue, une collection d'outils de piratage prétendument créés par la NSA, puis ensuite déversé par un groupe de piratage appelant lui-même «The Shadow Brokers» il y a plus d'un mois.

"Si la NSA avait divulgué en privé le défaut utilisé pour attaquer les hôpitaux quand ils * l'ont trouvé *, et non pas quand ils l'ont perdu, cela n'a peut-être pas eu lieu", a déclaré le pompiste Edward Snowden.

Kill-Switch pour WannaCry? Non, ce n'est pas fini!

Dans nos deux articles précédents, nous avons rassemblé plus d'informations sur cette vaste campagne de ransomware, expliquant comment MalwareTech a interrompu accidentellement la propagation mondiale de WannaCry en enregistrant un nom de domaine caché dans le logiciel malveillant.

hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Le domaine mentionné ci-dessus est responsable de maintenir WannaCry qui se propage et se répand comme un ver, comme je l'ai expliqué précédemment, si la connexion à ce domaine échoue, le ver SMB procède à l'infection du système.Heureusement, MalwareTech a enregistré ce domaine en question et a créé un dissident - les chercheurs tactiques utilisent pour réorienter le trafic des machines infectées vers un système auto-contrôlé. (Lire son dernier article sur le blog pour plus de détails)

Mais, si vous pensez que l'activation de l'interrupteur kill a complètement arrêté l'infection, vous vous trompez.

Étant donné que la fonction kill-switch était dans le ver SMB, pas dans le module ransomware lui-même. "WannaCrypt ransomware a été diffusé normalement longtemps avant cela et sera longtemps après, ce que nous avons arrêté était la variante de vers SMB", a déclaré MalwareTech à The Hacker News .

Vous devriez savoir que le kill-switch n'empêcherait pas votre PC non programmé d'être infecté, dans les scénarios suivants:

• Si vous recevez WannaCry via un courrier électronique, un torrent malveillant ou d'autres vecteurs (au lieu du protocole SMB).
• Si, par hasard, votre ISP ou antivirus ou pare-feu bloque l'accès au domaine du puits.
• Si le système ciblé nécessite un proxy pour accéder à Internet, ce qui est une pratique courante dans la majorité des réseaux d'entreprise.
• Si quelqu'un rend le domaine du puits inaccessible inaccessible pour tous, par exemple en utilisant une attaque DDoS à grande échelle.

wannacry, cyber-attaque, ransomware, Un moteur de recherche Web approfondi, des informations sur les pirates informatiques, les nouvelles pirates informatiques, kat cr, comment pirater, le meilleur gestionnaire de mot de passe, hacker facebook, thn, kickass torrents, dernières nouvelles de piratage, navigateur, bris de sécurité informatique, violation de données, sécurité informatique, Android le piratage

MalwareTech a également confirmé THN que certains "patins de botnet Mirai ont essayé de DDoS le serveur [sinkhole] pour lulz", afin de le rendre indisponible pour WannaCry SMB exploit, ce qui déclenche une infection si la connexion échoue. Mais "il a échoué hardcore", du moins pour l'instant.

WannaCry 2.0, Ransomware sans Kill-Switch est sur la chasse!

Initialement, cette partie de l'histoire était basée sur la recherche d'un chercheur de sécurité, qui prétendait précédemment avoir les échantillons du nouveau système de rinçage WannaCry qui ne comporte aucune fonction de destruction des tirs. Mais pour une raison quelconque, il a reculé. Donc, nous avons supprimé ses références de cette histoire pour l'instant.

Cependant, peu de temps après, nous avons été confirmés par Costin Raiu, le directeur de l'équipe mondiale de recherche et d'analyse chez Kaspersky Labs, que son équipe avait vu plus d'échantillons de WannaCry vendredi qu'il n'avait pas l'interrupteur de destruction.

"Je peux confirmer que nous avons eu des versions sans que le code kill switch ne se connecte depuis hier", a déclaré The Hacker News.

Alors, attendez-vous à une nouvelle vague d'attaques de ransomware, avec une variante WannaCry mise à jour, qui serait difficile à arrêter jusqu'à ce que tous les systèmes vulnérables soient corrigés.

"Les prochaines attaques sont inévitables, vous pouvez simplement réparer les échantillons existants avec un éditeur hexadécimal et il continuera à se propager", a déclaré Matthew Hickey, un expert en sécurité et cofondateur de Hacker House.

"Nous allons voir un certain nombre de variantes de cette attaque au cours des prochaines semaines et des mois, donc il est important de réparer les hôtes. Le ver peut être modifié pour diffuser d'autres charges utiles non seulement WCry et nous pouvons voir d'autres campagnes de logiciels malveillants sur la réussite de ces échantillons".

Même après que les attaques de WannaCry ont fait des manchettes sur Internet et sur les médias, il existe encore des centaines de milliers de systèmes non édités qui sont ouverts à Internet et vulnérables au piratage.

wannacry, cyber-attaque, ransomware, Un moteur de recherche Web approfondi, des informations sur les pirates informatiques, les nouvelles pirates informatiques, kat cr, comment pirater, le meilleur gestionnaire de mot de passe, hacker facebook, thn, kickass torrents, dernières nouvelles de piratage, navigateur, bris de sécurité informatique, violation de données, sécurité informatique, Android le piratage

"La fonctionnalité de la visse tente d'infecter les machines Windows non réparées dans le réseau local. En même temps, elle exécute une analyse massive sur les adresses IP Internet pour trouver et infecter d'autres ordinateurs vulnérables. Cette activité entraîne un trafic SMB important provenant de l'hôte infecté" Microsoft dit.

Croyez-moi, la nouvelle souche du logiciel malveillant WannaCry 2.0 ne prendrait pas assez de temps pour reprendre plus de cent des milliers de systèmes vulnérables.

Étant donné que WannaCry est un fichier exécutable unique, il peut également être diffusé à travers d'autres vecteurs d'exploitation réguliers, tels que le phishing de lance, l'attaque par téléchargement et le téléchargement de fichiers torrents malveillants, a averti Hickey.

Préparez-vous: mise à niveau, Patch OS et Disable SMBv1

MalwareTech a également mis en garde contre la menace de future, en disant: "Il est très important [pour] tout le monde [de comprendre que tout ce qu'ils [les attaquants] doivent faire est de changer de code et de recommencer. Relisez maintenant vos systèmes!"


"NCSC informé, FBI, etc. J'ai fait tout ce que je peux faire actuellement, c'est à tout le monde à réparer", a-t-il ajouté.

Comme nous l'avons informé aujourd'hui, Microsoft a pris une mesure inhabituelle pour protéger ses clients avec une version non prise en charge de Windows - y compris Windows XP, Vista, Windows 8, Server 2003 et 2008 - en libérant des correctifs de sécurité qui corrigent les défauts SMB actuellement exploités par WannaCry ransomware .



Même après cela, je crois que beaucoup d'individus restent inconscients des nouveaux correctifs et de nombreuses organisations, ainsi que des machines intégrées comme les écrans ATM et les affichages de panneaux d'affichage numériques, fonctionnant sur des versions anciennes ou non mises en évidence de Windows, qui envisagent de mettre à niveau leur système d'exploitation, Prenez le temps aussi bien que cela leur coûtera de l'argent pour obtenir de nouvelles licences.


Ainsi, les utilisateurs et les organisations sont fortement invités à installer les correctifs Windows disponibles dès que possible et à envisager de désactiver SMBv1 (suivre ces étapes) afin d'éviter les cyber-attaques futures similaires.Pour l'amour de Dieu: appliquez des correctifs. Microsoft a été très généreux pour vous.

Presque tous les fournisseurs d'antivirus ont déjà été signés pour se protéger contre cette dernière menace. Assurez-vous d'utiliser un bon antivirus et de le garder toujours à jour.En outre, vous pouvez également suivre certaines pratiques de sécurité de base que j'ai listées pour vous protéger contre ces menaces de logiciels malveillants.