MalwareTech est un pseudonyme que nous avions déjà évoqué à plusieurs reprises dans nos colonnes. Il s'est par exemple penché sur le cas du malware Mirai infectant des objets connectés et avait publié une carte en temps réel sur sa propagation.

Ce chercheur en sécurité informatique fait de même avec un suivi de la propagation mondiale de la souche de ransomware WannaCrypt autrement connu en tant que WannaCry. Il a même fait beaucoup plus puisqu'il a permis d'enrayer sa diffusion.

D'après un premier bilan d'Europol, la cyberattaque mondiale débutée vendredi a fait 200 000 victimes dans au moins 150 pays. L'action de MalwareTech aurait permis d'éviter une centaine de milliers d'infections par WannaCrypt.

Après avoir analysé un échantillon du malware obtenu grâce à l'aide du chercheur en sécurité français Kafeine, MalwareTech explique avoir accidentellement - et temporairement - bloqué la cyberattaque mondiale. Pour cela, il a enregistré le nom de domaine iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com codé en dur dans le malware.

" J'avoue que je ne savais pas qu'enregistrer un nom de domaine arrêterait le malware jusqu'à ce que je l'ai enregistré ; au départ c'était donc accidentel ", a déclaré MalwareTech qui est un Britannique âgé de 22 ans.

Le malware disposait ainsi d'une sorte de bouton d'arrêt d'urgence ou kill switch. Avant chaque infection, il essayait de contacter ledit domaine. Sans réponse de ce dernier, le malware poursuivait sa besogne en verrouillant les fichiers d'une machine prise pour cible.

La mauvaise nouvelle est que des versions du nuisible ont été découvertes et disposent d'un autre nom de domaine en guise de kill switch, voire pas du tout de bouton d'arrêt d'urgence. Si toutes ne sont pas encore fonctionnelles, ce n'est qu'une question de temps.

MalwareTech rappelle dès lors l'importance d'un système à jour avec le patch MS17-010 de Microsoft.