Le ver WannaCry continue de faire des victimes

Publié le 29 décembre 2018 à 16h35

clubic__WannaCry-le-ransomware-qui-paralyse-linternet__2987367__486896_854x480_3.jpg

Le malware WannaCry, qui avait infecté des centaines de milliers de machines, avait été stoppé en enregistrant un nom de domaine, l'empêchant ainsi d'agir. Mais d'après des statistiques, le logiciel malveillant serait toujours présent, de façon silencieuse, sur de nombreux ordinateurs, guettant la moindre opportunité pour ressurgir.

Apparu en mai 2017, WannaCry est un ransomware ayant fait plus de 300 000 victimes en quelques jours. Son principe : chiffrer les données personnelles présentes sur les ordinateurs infectés et demander une rançon en l'échange de la clé de déchiffrement permettant de récupérer les fichiers cryptés.

Un nom de domaine comme antidote

Le virus avait pu être endigué grâce à l'intervention de Marcus Hutchins, chercheur en cybersécurité chez Kryptos Logic. Pour cela, l'informaticien, qui avait d'abord souhaité rester anonyme, avait simplement acheté un nom de domaine, ce qui avait entraîné la désactivation immédiate de WannaCry.

Pour fonctionner, le malware utilisait en effet une URL composée de caractères aléatoires, à titre de vérification. Si cette adresse était inaccessible, WannaCry continuait d'agir et de se propager. Dans le cas contraire, il était bloqué.

Une menace en sourdine dans près de 200 pays

Mais « bloqué » ne signifie pas « supprimé ». Des chercheurs de Kryptos Logic ont toujours accès aux statistiques associés au nom de domaine lié à WannaCry et ont ainsi pu constater que le ransomware était toujours installé sur de nombreuses machines. Un an et demi après son apparition, il continue de s'y exécuter en arrière-plan, vérifiant la disponibilité de l'URL, pour reprendre son activité en cas de faille.

Ainsi, le domaine ferait l'objet de 17 millions de connexions par semaine, issues de 630 adresses IP uniques, venant de 194 pays différents, les plus représentés étant la Chine, l'Indonésie et le Vietnam. De plus, les chiffres montrent des pics pendant les jours ouvrables, aux heures de bureau, ce qui tend à prouver que les machines les plus infectées sont les ordinateurs professionnels.

Et renfermer une telle menace endormie ne doit pas être pris à la légère. Il suffit effectivement d'une panne de serveur pour que l'URL de vérification de WannaCry soit inaccessible, entraînant de fait la réactivation du ransomware. C'est pourquoi Kryptos Logic recommande d'utiliser un outil de détection permettant de déterminer si votre ordinateur fait partie des victimes.

Source : BleepingComputer

Par Bastien Contreras

Ingénieur télécom reconverti en rédacteur web. J'écris sur les high tech, les jeux vidéo, l'innovation... J'ai d'ailleurs été responsable d'accélérateur de startups ! Mais je vous réserve aussi d'autres surprises, que vous pourrez découvrir à travers mes articles... Et je suis là aussi si vous voulez parler actu sportive, notamment foot. Pour ceux qui ne connaissent pas, c'est comme du FIFA, mais ça fait plus mal aux jambes.

Articles de Bastien Contreras

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (3)

jardinero

Et c’est là que clubic nous met le lien pour l’outil de detection ,super ,super .
Je savais qu’il y avait un côté pratique sur ce site, dans les articles.
Merci et meilleurs voeux.

notolik

630 adresses IP uniques ?
Ce serait pas plutôt 630 000 ?

Sun

Si le gars y met de la pub, il gagnera pas mal de fric rapidement.