Kill Switch : la propagation de WannaCry enrayée avec un nom de domaine enregistré

Le par  |  3 commentaire(s)
Bouton arrêt urgence

L'enregistrement d'un nom de domaine aura suffi à éviter un emballement de la diffusion du ransomware WannaCry. La partie n'est pas gagnée pour autant.

MalwareTech est un pseudonyme que nous avions déjà évoqué à plusieurs reprises dans nos colonnes. Il s'est par exemple penché sur le cas du malware Mirai infectant des objets connectés et avait publié une carte en temps réel sur sa propagation.

Ce chercheur en sécurité informatique fait de même avec un suivi de la propagation mondiale de la souche de ransomware WannaCrypt autrement connu en tant que WannaCry. Il a même fait beaucoup plus puisqu'il a permis d'enrayer sa diffusion.

D'après un premier bilan d'Europol, la cyberattaque mondiale débutée vendredi a fait 200 000 victimes dans au moins 150 pays. L'action de MalwareTech aurait permis d'éviter une centaine de milliers d'infections par WannaCrypt.

Après avoir analysé un échantillon du malware obtenu grâce à l'aide du chercheur en sécurité français Kafeine, MalwareTech explique avoir accidentellement - et temporairement - bloqué la cyberattaque mondiale. Pour cela, il a enregistré le nom de domaine iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com codé en dur dans le malware.

" J'avoue que je ne savais pas qu'enregistrer un nom de domaine arrêterait le malware jusqu'à ce que je l'ai enregistré ; au départ c'était donc accidentel ", a déclaré MalwareTech qui est un Britannique âgé de 22 ans.

Le malware disposait ainsi d'une sorte de bouton d'arrêt d'urgence ou kill switch. Avant chaque infection, il essayait de contacter ledit domaine. Sans réponse de ce dernier, le malware poursuivait sa besogne en verrouillant les fichiers d'une machine prise pour cible.

La mauvaise nouvelle est que des versions du nuisible ont été découvertes et disposent d'un autre nom de domaine en guise de kill switch, voire pas du tout de bouton d'arrêt d'urgence. Si toutes ne sont pas encore fonctionnelles, ce n'est qu'une question de temps.

MalwareTech rappelle dès lors l'importance d'un système à jour avec le patch MS17-010 de Microsoft.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1964915
A quoi peut bien servir ce kill switch ?
Le développeur du malware peut difficilement l'activer lui même sans se faire repérer. Et quel est son intérêt ?
Le #1964921
kerlutinoec a écrit :

A quoi peut bien servir ce kill switch ?
Le développeur du malware peut difficilement l'activer lui même sans se faire repérer. Et quel est son intérêt ?


Je suppose que cette infection s'achète sur le marché noir. Tu achète ta souche et suivant le nombre de pc infectés, le vendeur arrête la propagation.
J'ai vu sur un site (pas le dark web) la vente d'exploit (docx) et ceci ce monétise 5900$ le fichier.
Donc oui, il y aura d'autres variantes de wanacry.
Par contre, sur la méthode de propagation sur les postes, est-ce vraiment un vers ?
Il y a environ 1 an, un client a été touché par une infection. Tous les fichiers se sont retrouvés avec l'attribut caché et l'infection se renommait avec le nom de chaque fichier et l'icône de chacun des fichier (excel, word, pdf...).
par exemple :
le fichier original : TABLEAU.XLS va avoir l'attribut caché
l'infection va se renommer TABLEAU.XLS.EXE et utiliser l'icône du fichier excel.
Lorsque l'utilisateur veut ouvrir son fichier sur son poste, l'infection s'installe et lance le document original.
Le #1964972
warsoft a écrit :

kerlutinoec a écrit :

A quoi peut bien servir ce kill switch ?
Le développeur du malware peut difficilement l'activer lui même sans se faire repérer. Et quel est son intérêt ?


Je suppose que cette infection s'achète sur le marché noir. Tu achète ta souche et suivant le nombre de pc infectés, le vendeur arrête la propagation.
J'ai vu sur un site (pas le dark web) la vente d'exploit (docx) et ceci ce monétise 5900$ le fichier.
Donc oui, il y aura d'autres variantes de wanacry.
Par contre, sur la méthode de propagation sur les postes, est-ce vraiment un vers ?
Il y a environ 1 an, un client a été touché par une infection. Tous les fichiers se sont retrouvés avec l'attribut caché et l'infection se renommait avec le nom de chaque fichier et l'icône de chacun des fichier (excel, word, pdf...).
par exemple :
le fichier original : TABLEAU.XLS va avoir l'attribut caché
l'infection va se renommer TABLEAU.XLS.EXE et utiliser l'icône du fichier excel.
Lorsque l'utilisateur veut ouvrir son fichier sur son poste, l'infection s'installe et lance le document original.


"Tu achète ta souche" ... Tu la débites et tu fais un beau feu de joie avec les données d'autrui
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]