Wannakey, l'outil de décryptage de Wannacry

Samuel CAMPOS
19 mai 2017
Aucun commentaire

Abstract

Si vous vous êtes connéctés à Internet durant les deux dernières semaines, vous avez certainement entendu parler de Wannacry, le ransomware qui a infecté des dizaines de milliers d’utilisateurs à travers le monde.

Ce logiciel cible toutes les versions de Windows, même si Windows 10 a rapidement été corrigé. Il crypte les fichiers hébergés sur votre ordinateur et vous demande de payer une rançon de $300 pour obtenir la clé de déchiffrement.

Heureusement, le chercheur français Adrien Guinet a développé un outil de décryptage qui est capable, sous certaines conditions, de déchiffrer vos fichiers.

Wannacry, qu’est-ce que c’est ?

Wannacry est un puissant ransomware qui est apparu le 12 mai 2017. Véhiculé par un fichier pdf envoyé depuis un mail de phishing, il a infecté plus de 200.000 ordinateurs dans environ 100 pays.

C’est un logiciel composé de deux modules séparés. Un premier qui exploite une faille dans le protocol SMB (Server Message Block) de Microsoft, nommée EternalBlue, obtenue par les NSA leaks, qui lui permet de se répandre sur toutes les machines joignables sur le réseau local. Ensuite un deuxième module chiffre tous les fichiers qu’il trouve sur la machine et les renomme avec une extension .WNCRY et place un lock screen avec le message de rançon comme vous pouvez voir ci-dessous.

Un kill switch trouvé dans le virus

Il se trouve que, avant de tenter de se répandre sur le réseau local, Wannacry essaye d’abord de joindre un nom de domaine qui était à la base non enregistré: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com et se répand seulement si le site n’est pas joignable. Ce nom de domaine a donc été rapidement créé, ce qui a temporairement empêché le virus de se propager dans le réseau, mais pas de crypter les fichiers de la machine ciblée initialement.

Plusieurs hypothèses ont été relayées pour expliquer pourquoi les créateurs de Wannacry ont intégré ce kill switch (coupe-circuit) dans leur logiciel. L’une d’elle est qu’ils l’ont fait délibérément pour être capables d’arrêter leur « monstre » en cas de problème. Même si ce kill switch a permis de ralentir la propagation du virus, il faut rester vigilant une nouvelle version du logiciel, Wannacry 2.0 a rapidement été émis sans cette vérification de nom de domaine.

Wannakey

Si votre machine tourne sur Windows XP, Seven, 2003, Vista ou Windows Server 2008 et si vous voyez l’écran ci-dessus, vous devriez jeter un oeil sur Wannakey. Développé par le chercheur français Adrien Guinet, cet outil va pouvoir retrouver la clé privée en cherchant le fichier wcry.exe dans votre ordinateur. En fait, Wannacry utilise l’algorithme de cryptage RSA (Rivest, Shamir et Adleman), qui est basé sur un problème de mathématiques lié à la factorisation des grands nombres premiers. Pour cela, il utilise la Windows Crypto API et il se trouve que CryptDestroyKey et CryptReleaseContext n’effacent pas les deux nombres premiers utilisés pour générer le couple de clefs de chiffrement/déchiffrement avant d’effacer la mémoire. Dans ces conditions Wannakey pourrait être capable, surtout si vous n’avez pas encore redémarré votre ordinateur, de trouver ces nombres premiers dans le fichier wcry.exe et de déchiffrer votre machine.

Vous avez été impactés ?

Contactez-nous :