Capture d'écran du message que WannaCrypt0r 2.0 affiche sur ton ordi

© Malware Hunter Team

WannaCrypt0r 2.0 a infecté des milliers d'ordi sur la planète mais un type a réussi à l'arrêter... par hasard

13 mai 2017

Des milliers d'ordinateurs ont été infectés ces derniers jours par le ransomware WannaCrypt0r 2.0, bloquant leurs données en demande d'une rançon. Les services de santé britannique, des sociétés de télécom en Europe et en Asie ainsi que de nombreuses entreprises sur tous les continents ont été touchés. Mais un type a trouvé une solution accidentellement.

Le ransomware WannaCrypt0r 2.0 est un virus qui profite d'une faille dans le système d'exploitation de Windows pour bloquer l'accès aux données présentes sur l'ordinateur en échange d'une rançon. Il demande 300 dollars (275€) pour débloquer le système. Si les victimes ne paient pas dans les trois jours, la rançon double. Pour certaines sociétés, ne pas avoir accès à leurs données peut être carrément catastrophique.

Hier soir, plusieurs milliers d'ordinateurs étaient infectés par WannaCrypt0r 2.0. Des sociétés postales ou de Telecom comme FedEx, Portugal Telecom et Telefonica ont été gravement impactées. Des entreprises du monde entier ont déclaré être bloquées par ce virus. Les services de santé britanniques (NHS) se sont retrouvés dans un état critique à cause de ce ransomware. Dans certaines régions, des ambulances ont été détournées de leurs hôpitaux et des centres de chirurgies ont été perturbés par cette attaque.

La carte des ordinateurs infectés dans le monde, par Malware Tech

© Malware tech

Héros accidentel

Mais un chercheur en cybersécurité a réussi à stopper ce ransomware... "de façon accidentelle", a-t-il tweeté. L'homme qui tweete sous le pseudo Malware Tech explique avoir trouvé par hasard un "bouton d'arrêt d'urgence" dans le logiciel malveillant, devenant ainsi un héros accidentel.

Cet interrupteur de virus a été codé dans le logiciel malveillant au cas où le créateur voulait l'empêcher de se répandre. Il s'agit d'un très long nom de domaine absurde auquel le logiciel malveillant fait une demande - tout comme s'il recherchait un site Web - et si la demande donne des résultats et montre que le domaine existe, l'interrupteur se met en marche et le logiciel malveillant cesse de se répandre.

Malware Tech a juste enregistré le nom de domaine, rapporte The Guardian, et des milliers de connections se sont faites instantanément. Ces connections ont stoppé la propagation du virus. Coût de l'opération? 10.69 dollars. "J'ai vu que le nom de domaine n'était pas enregistré et j'ai pensé "je vais le prendre"", déclare ce chercheur en cybersécurité.

La NSA responsable?

Au moment où Malware Tech a racheté ce nom de domaine, des milliers d'ordinateurs étaient déjà infectés en Europe et en Asie. Mais grâce à lui, de nombreux autres utilisateurs ont pu prendre les dispositions nécessaires pour protéger leurs appareils: mettre à jour leur version de Windows.

Car, si cette attaque a ainsi pu se propager, c'est parce que de nombreuses entreprises n'avaient pas voulu ou n'avaient pas pris le temps de faire une update de leur système d'exploitation. Les hackers ont juste profité d'une faille dans le système qui avait été révélée publiquement en avril. Faille à laquelle Microsoft (Windows) s'était empressé de présenter un patch correcteur.

Cette faiblesse informatique a été dévoilée lors d'une fuite d'information de la NSA. Pour des raisons que l'on ignore, les services secrets américains trouvaient un usage à cette vulnérabilité... Le groupe Shadow Brokers se serait emparé de cette information pour en faire "une cyber-arme" et serait à l'origine de l'attaque mondiale de vendredi.

Comme l'explique Malware Tech, il est super important de comprendre que cette attaque ne tient qu'à un nom de domaine. Tout ceux qui travaillent avec des ordinateurs sous Windows doivent absolument faire ce changement dans le code de leur système, soit ajouter le patch que Windows a sorti le 14 avril. Car, tout ce que les pirates informatiques ont à faire, c'est changer une ligne de code pour relancer l'attaque.

Un seul conseil: accepte l'update de Windows et met à jour ton PC

Déjà lu?

Déjà lu?