Accueil - Guides & Astuces - Serveurs & Infrastructure - Virus Wanna Cry – Comment se protéger, bien agir et se prémunir

Virus Wanna Cry – Comment se protéger, bien agir et se prémunir

Virus Wanna Cry – Comment se protéger, bien agir et se prémunir
4.9 (97.78%) 18 votes

Le virus Wanna Cry sévit depuis vendredi sur l’ensemble de la planète.

Il s’agit d’une cyberattaque sans précédent qui infecte des dizaines de milliers d’entreprises.

Le virus est un  RANSOMWARE dont le principe est toujours le même.

Il crypte vos données, vous demande une rançon ( qu’il ne faut surtout pas payer ) pour récupérer vos fichiers. Vous êtes alors pris en otage.

Enfin pour vous mettre un coup de pression , les fichiers sont détruits si vous ne payez pas la rançon.

On le trouve également sous le nom de Wanna Decryptor. Cet article présente le virus et vous explique comment protéger votre parc informatique.

Wanna Cry – Comment il peut infecter votre entreprise , votre ordinateur ?

Le Ransomware utilise une faille du système Windows ( qui touche toutes les versions Windows ! ). Il s’agit d’une faille sur le protocole SMB Version 1 . ( corrigée par Microsoft via un correctif en MARS 2017 )

Cette faille a été découverte par la NSA et normalement elle n’aurait pas dû être divulguée. Malheureusement la NSA s’est fait piratée et l’information a circulé.

Résultat , les pirates utilisent cette faille pour infecter les ordinateurs mais aussi l’ensemble de votre parc informatique. C’est pourquoi vous devez absolument appliquer les conseils de ce tutoriel.

wanna cry présentation
Voici ce qui se passe quand votre ordinateur est infectée par Wanna Cry ( Wanna Decryptor )

Wanna Cry – Comment se protéger ?

Pour les plus pressés voici un lien mega avec l’ensemble des patchs il contient les correctifs pour :

  • Windows XP
  • Windows 7 ( 32 et 64 bits )
  • Windows 8.1 ( 32 et 64 bits )

Les serveurs de Microsoft sont très sollicités donc n’hésitez pas à prendre ces liens.

Windows 7 à Windows 10 ( Windows Server 2008R2 à 2016 )

Evidemment,  la solution est simple. Il faut que votre système Windows soit à jour ! ( au moins avoir le correctif de MARS 2017 ). C’est peut être l’occasion de lancer les mises à jour via Windows Update .

La page de téléchargement du correctif pour les versions Windows précisées ci dessus est accessible sur le site de Microsoft. Sur cette page vous trouverez les liens pour les différents systèmes Windows ( attention les serveurs sont surchargés ).

Windows 8.1 et Windows Serveur 2012R2 la page des correctifs est ici

Windows 7 et Windows Serveur 2008R2 la page des correctifs est ici 

Windows 10 la page des correctifs est ici 

Windows 10 1511 la page des correctifs est ici

Windows 10 1607 et Windows Serveur 2016 la page des correctifs est ici 

La version Creators Update ( 1703 ) est sortie au mois d’avril , de ce fait il n’y a donc pas besoin de correctif.

Afin de faciliter le téléchargement je vous propose de télécharger les correctifs depuis mon site et depuis Mega. Les patchs pour Windows 10 et Server 2016 étant trop volumineux merci d’utiliser les liens au dessus.

Pour les liens depuis notre site , merci d’utiliser CHROME ou Firefox , IE ne prend pas en charge le lien.

Windows Vista, Windows XP, Windows Serveur 2003, 2008 et Windows 8

Devant l’ampleur de la cyberattaque Microsoft a décidé de publier  exceptionnellement un correctif pour les systèmes qui ne sont plus maintenu par la firme de Redmont.

Le bulletin de sécurité est disponible ici

La page de téléchargement du correctif est accessible ici ( attention les serveurs sont surchargés ). La page vous propose les liens pour les version 32 et 64 bits de Windows XP , Windows Vista , Windows 8 et Windows Serveur 2003

Liens rapides Windows XP

Liens rapides Windows Server 2003

Un antivirus performant est primordial

Il est également recommandé d‘avoir un antivirus à jour et performant ( un antivirus payant tel que Kaspersky , Nod32 par exemple ).

Pour moi les antivirus payants et réputés seront toujours plus efficace que la version gratuite d’avast.

Généralement Kaspersky et ESET NOD32 sont très bons.

Maj 16/05

Les antivirus détectent l’attaque, par exemple Symantec bloque le RANSOMWARE.

Néanmoins il faut absolument appliquer les correctifs Windows.

Les pirates vont sûrement créer des variantes pour passer au travers des antivirus.

Sensibiliser vos collaborateurs , amis , famille

Il est important de sensibiliser vos collaborateurs au sein de l’entreprise. Il ne faut pas ouvrir des mails sans prendre quelques secondes pour analyser l’objet, l’expéditeur.

Les pirates sont malins ils essaient désormais d’écrire en bon français et reprennent même parfois des fausses adresses mails avec le nom de votre entreprise.

Un mail avec une pièce jointe nécessite toujours une attention particulière ! Un expéditeur inconnu ou louche on supprime le mail !

Faîtes de même pour vos amis et votre famille , ce sont des habitudes à prendre. Grace à ces réflexes vous limiterez les infections.

Attention Wanna Cry ( ou Wanna Decryptor ) ne semble pas se diffuser via la messagerie. Mais la plupart des Ransomwares infectent une entreprise par ce canal soyez vigilent.

Wanna Cry a infecté mon entreprise , mon ordinateur que faire ?

Identifier les postes infectés

Il faut couper la connexion au réseau local et à internet pour l’ensemble du parc. Essayez d’identifier le poste à l’origine de l’attaque. Premier réflexe les postes en Windows Vista / XP si ils sont infectés on les formate et on procède à une réinstallation avec les correctifs.

Il faut également réfléchir à faire évoluer votre parc. Supprimez les postes en XP est parfois compliqué à cause de certaines applications non compatible mais il faut y réfléchir vous ne pouvez pas rester indéfiniment avec des machines vulnérables.

Le coût du renouvellement de votre parc sera rentabilisé puisque vous limiterez grandement les arrêts de la production !

Patcher et/ou mettre à jour les pc et serveurs de l’ensemble du parc

Il faut procéder à la mise à jour du correctif immédiatement si vos PC ont les mises à jour désactivés !

Chaque PC infecté doit être formaté et réinstallé proprement avec au moins le correctif ! Généralement on trouve des fichiers cryptés en local sur les postes incriminés. Et bien sûr on installe un antivirus performant !

Restaurer les données, la sauvegarde votre seul recours

Les fichiers cryptés sont irrécupérables la seule solution pour retrouver vos données est en effet , d‘avoir une sauvegarde saine la plus récente possible.

Il faut être irréprochable sur ce point. Une sauvegarde en interne et sur un support externalisé et déconnecté du réseau ( Me concernant j’ai un faible pour Crashplan ).

Remise en route de la production

Une fois votre parc à jour et les failles colmatés vous pouvez procéder à la remise en place du réseau.

Prévenir les futurs infections

Parfois ce type d’infection faire prendre conscience que la sécurité informatique est importante et qu’elle vaut peut être le coup d’y allouer un budget. En effet, cela permet d’éviter les interruptions , le chômage technique et d’assurer la croissance de votre entreprise.

Et vous , avez vous déjà été infecté par un Ransomware ?

Pour votre culture voici une vidéo explicative sur l’utilisation de l’exploit.

11 commentaires

  1. tout à fait, les ransomwares des années précédentes se propageaient par mail. Une fois la pièce jointe ouverte le virus crypte les données du poste en local et les lecteurs réseaux.

  2. Pour compléter mon commentaire : d’après ce que je comprends, pour entrer dans une organisation, il faut que quelqu’un dans l’organisation clique sur la pièce jointe d’un mail contaminé.

    Une fois dans l’organisation, le malware utilise le système de partage de fichiers et peut contaminer plein d’autres machines. C’est pour cela qu’on a entendu parler de grandes organisations qui ont eu des problèmes : il a suffi d’une erreur humaine d’une seule personne sur des milliers.

  3. C’est pour ça que j’ai employé “ne semble pas se diffuser par mail”. Dans l’article je rappelle quelques règles essentielles à appliquer quand on reçoit un mail avec une pièce jointe.
    A noter que les antivirus détectent le virus ( symantec le voit et bloque les tentatives ). Des clients ont vu des attaques bloqué alors qu’ils n’ont pas reçu de mails bizaroïdes.

  4. Vous indiquez “Attention Wanna Cry ( ou Wanna Decryptor ) ne Semble pas se diffuser via la messagerie.”
    Est-ce qu’on trouve quelque part une information certaine à ce sujet ? Car si c’est un ransomware classique par mail, il serait bon de donner les consignes de prudence à tout le monde : là tout le monde crie “au feu” sans expliquer à quoi faire attention.
    Et si c’est un virus qui se propage par le réseau sans besoin d’autre chose que des adresses IP et un PC avec la faille à cette adresse (comme était le ver Blaster en 2003) alors oui mettons tous les systèmes à jour.

  5. Article “SUPER” bien documenté BRAVO
    …mais n’est pas accessible facilement aux non-initiés.

    Je suggère de le presenter en deux partie …

  6. Une fois de plus les clients de Microsoft apprécieront… si vous êtes rançonnés c’est de votre faute ! fallait vous protéger ! fallait pas ouvrir cet email avec pièce attachée ! fallait pas rester sous XP !… etc… etc… mais JAMAIS le créateur de ce système d’exploitation ne se remet en cause !!.

    Pendant ce temps, les utilisateurs de MAC et ceux qui ont choisi Linux doivent bien rigoler .
    Et les marchands commencer à se frotter les mains… car on va ainsi relancer le business inépuisable des antivirus et des responsables sécurité informatique. Microsoft devrait peut-embaucher l’informaticien de la NSA qui a trouvé la faille ?

    Ah si Microsoft pouvait avoir un peu plus de sens de l’éthique en anticipant sur les dégâts plutôt que cesser les MAJ de sécurité pour les centaines de milliers de clients (y compris sous XP) qui leur ont fait un jour confiance en achetant leur produit !.

    Le tout connecté à la maison, c’est pas pour demain chez moi !

  7. En fait c’est la NSA qui avait repertorie la faille pour utilisation a ses propres fins au lieu d’averti de sitot Microsoft.

    S’il en avait ete ainsi tout ca ne serait pas arrive. La est le debat et pas ailleurs selon moi

  8. qui ne faut surtout pas payer -> qu’il ne faut surtout pas payer
    Malheureusement la NSA s’est fait piratée – Microsoft a décidé de publier

  9. “Pour moi les antivirus payants et réputés seront toujours plus efficace que la version gratuite d’avast.”

    —> donc NORTON est mieux qu’avast ou qu’avira? LOL

  10. Bravo pour la réactivité, et la qualité de l’article.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *