Reprise du message précédent :

 
Je te le fais pas dire    
Genre, tu te dis tu vas apprendre un minimum sur le mode de propagation :  
http://www.sudouest.fr/2017/05/13/ [...] 3-4725.php
 
Comment l’attaque s’est-elle répandue ?
 
Selon des experts en informatique, le virus fonctionne avec des dizaines de langages, ce qui montre la volonté des pirates de s’en prendre à des réseaux dans le monde entier. La société Kaspersky rappelle que le logiciel malveillant a été publié en avril par le groupe de pirates "Shadow Brokers", qui affirment avoir découvert la faille informatique dans des documents volés à la NSA.
 
Mikko Hypponen, chef de la société de sécurité informatique F-Secure, note que la Russie et l’Inde ont été particulièrement touchées parce que beaucoup de réseaux et ordinateurs dans ces deux pays tournent encore avec le logiciel Windows XP.
 
Du coup, tu apprends juste "qu'il fonctionne avec des dizaines de langage" (enfin, c'est certainement juste la demande de rançon qui nécessite d'être en plusieurs langues) et qu'il exploite une faille dans windows. Ben tiens.
 
Au final, à la fin de l'article, tu n'en sais pas beaucoup plus...
 

Si c'est comme l'attaque et la diffusion du "macron leaks" où les "pirates" oublient les métadonnées compromettantes dans les fichiers excel et les calques photoshop dans les images retouchées des documents "fake", oui, ça devrait pas prendre une plombe...

Stoppé temporairement.  
 
Wana Decryptor est un ver (virus réseau) avec des fonctionnalités de ransomware, il est autonome, il se déplace tout seul en recherchant des failles distantes, d'où sa rapidité d'infections. Il s'installe aussi par les pièces jointes ou liens dans un mail.  
 
Faites des sauvegardes et mettez à jour Windows !

ils ont jamais arreté les auteur de sasser/I love you il me semble

https://www.lesechos.fr/10/05/2004/ [...] arrete.htm
 
Après recherche, il semblerait que si. Un jeune Allemand de 18 ans...
 
Et cela a été très rapide d'ailleurs. Moins de deux semaines...

 
Ou comment décrédibiliser une attaque en mettant de grossiers faux dedans...    
Ce qui est grave par contre, c'est de voir les médias muselés et ne pas en parler  

On ne peut pas demander à des médias généralistes de pondre des articles techniques.
 
Si on veut de la technique, je ne suis pas sûr que Sud-Ouest, le Parisien ou Voici soient les bons choix de lecture.

Disons qu'ils citent tout de même des spécialistes et lorsque l'on met en titre de paragraphe "comment l'attaque s'est-elle répandue", on s'attend naturellement à autre chose qu'un laconique "exploite une faille windows" sans pour autant que ce soit hyper technique. En lisant l'article, on ne sait même pas si au départ c'est l'ouverture de pièces jointes dans les mails qui fait rentrer le loup dans la bergerie, ou le simple fait d'être connecté à l'Internet comme Blaster.
On apprend que XP est particulièrement vulnérable, que 10 ne l'est pas du tout.
Mais il y a tout de même eu quelques versions de windows entre   .
Je trouve que l'article ne fait même pas le minimum syndical.

Je crois que Windows 10 doit être patché aussi ? Et comme ya 4 versions (même 8 avec les 32 et 64 bits),  ça fait autant de patchs différents à déployer,  galère potentiele.

Windows 10 n'a pas besoin d'être patché.

Si je comprend bien le tableau il existe des patchs jusqu'à la version 1607 de W10
La dernière version 1703 est patchée d'origine ( logique )
https://technet.microsoft.com/en-us [...] 7-010.aspx

 
voir le lien de mobilis au dessus.
10 est vulnérable jusqu'à la mise à jour du mois de mars 2017.

 
voilà, tout à fait, il faut aussi mettre à jour les windows 10 aussi, sauf la 4ere version Creator Update  

 
de ce que je comprends, toutes les versions de windows 10 sont automatiquement à jour, si les mises à jour windows update ont bien été faites. Dans ce cas, il n'y a aucun patch à installer.

 
en entreprise, les maj sont bien souvent bloquées...

Je regardais le fonctionnement du ver.
Une fois le poste contaminé, il va chiffrer les disques dur locaux, probablement les lecteurs réseaux.
Ensuite il va scanner le réseau local à la recherche d'un port 445 ouvert.
Il va utiliser la faille MS17-010 pour exécuter du script à distance.
il va supprimer les points de restauration et les versions précédentes du pc attaqué.
il va chiffrer les données sur le poste et installer la backdoor "Doublepulsar"
 
Dans le fonctionnement du malware, il doit essayer de se connecter au domaine www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Si ce domaine est injoignable, il continue son boulot, sinon il s'arrête.
Un anglais a enregistré le nom de domaine qui était libre et a ainsi bloqué le ver.
 
Mais toutes les entreprises qui utilisent un proxy vont empêcher l'accès au site et le ver continue à se propager.

Tu oublies que la version 2 est en ligne. Sans le test du domaine www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Aucun moyen de l'arrêter, autre que maj/antivirus/firewall/désactivation SMB.

source pour l'URL ?
parce qu''ou que je regarde, l'URL est "correcte"

 
https://www.google.fr/#q=http://www [...] rgwea.com/
 
 

 
https://www.microsoft.com/security/ [...] WannaCrypt
 
onglet technical information :
 

 
Tu as pas mal de détails ici :
https://securingtomorrow.mcafee.com [...] -outbreak/
 
C'est étrange que l'auteur ait fait une aussi grosse erreur de conception.
Ca va lui couter des dizaines de millions d'euros.
Mais ça va peut-être lui permettre d'avoir une peine de prison un peu moindre.

hmmm donc si en entreprise on a un proxy web, et qu'on whiteliste ce domaine :
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  
 
ça "protège" pour la v1 du virus ? (mais pas la v2 et qu'il faut bien appliquer le patch).
 
De toute façon il faut s'attendre à avoir plusieurs variantes dans les semaines à venir venant de petits cons, alors autant appliquer les patchs c'est sûr.

A mon avis cela ne sert à rien d'ajouter l'adresse au proxy.
Dans la conception du programme, il ne semble pas fait pour utiliser une configuration proxy

 
Ou c'est peut être voulu. Une des premières choses est de couper l'accès aux ressources du malware. Et dans le cas de WannaCry, cela ne fait que "renforcer" son efficacité.  

on peut penser que s'il n'y a que ça comme "protection", le ver sera rapidement mit à jour pour supprimer cette faiblesse.
 
à ma connaissance il n'y a pas de logiciel préventif pour ce genre de ver s'il utilise une faille non-découverte.
 
ha, mise à jour déjà faite...
 

ou ils n'oublient rien mais y placent soigneusement des "signatures" des coupables à trouver, puisqu'il existe des bibliothèques de signatures.

Je comprends pas la logique là.  
Si le domaine est accessible, le programme arrête son exécution. Si le domaine n'est pas accessible (genre dans une sandbox justement), il infecte bien la machine. En quoi c'est un mécanisme de sécurité empêchant l'analyse ?

non, patchée en mars oui, après la découverte de la fuite des logiciels et avant le début des publications vault7. ce n'était plus utilisable, donc il fallait lancer le patch.

dites, j'essaye de faire installer le patch à quelqu'un qui est sous XP et ça veut pas...
 
Machine sous windows XP x86 SP3.
téléchargement ici :
 
https://www.microsoft.com/en-us/dow [...] x?id=55245
 
et au moment de l'installation un message dit que cette version de windows n'est pas compatible..
 
   
 
une idée siouplé?
 

C'est bien le patch FR et pas US ?

 
oui oui

Le mec register un nom de domaine pour "tracer" le serveur de contrôle, ce qu'il fait habituellement avec les autres malwares. Sauf que dans ce cas, en plus de savoir qui est infecté, ça empêche immédiatement le malware de s'exécuter. Great.
 
En quoi ce que t'avais quote à la base est un résumé de cet article ? Je vois pas bien les liens logiques là. Éclaire moi.

le vol a eu lieu en septembre 2016 au plus tard
https://www.developpez.com/actu/109 [...] n-interne/
et publié en avril 2017, à moins de considérer plusieurs vols successifs sur plusieurs mois, moins probable.

L'anglais qui a stoppé le malware n'a pas de chance, on voit partout dans les articles qu'il a arrêté la propagation du malware par accident.
Alors qu'il a plutôt l'air compétent et on n'achète pas un nom de domaine par accident.

Nan mais cherche pas, l’informatique c’est magique.
On a bien de la chance quand ça marche !

Tu dis vraiment n'importe quoi. La faille utilisée par le worm qui propage le cryptolocker est celle utilisée par la NSA à l'origine, qui a été volée il y a très longtemps (plusieurs années en arrière) mais seulement publiée "for free" en avril 2017 par TSB. La CIA et WikiLeaks n'ont rien à voir là dedans...
 
J'attends toujours ta réponse sur la logique qu'il y a à affirmer ça (je sais que ce n'est pas de toi, mais tu sembles être OK avec ça...) :

 
Comme quoi, désactiver les services dont on n'a pas besoin (et par extension tout ce qui tourne pour rien) a de l'intérêt : limiter l'envergure d'attaque d'une machine ou de celles sur le même réseau.
 
Et quand je vois tout ce qui tourne sur nos machines au boulot, j'ai peur... surtout avec du partage SAMBA activé dans les services, alors que presque personne s'en sert. On a juste besoin d’accéder à des lecteurs/imprimantes réseaux, et le service est inutile dans ce cas là. Tout comme j'ai très peur lorsque j'entends notre DSI avoir coupé les MAJ des machines et ne le font que pendant les vacances parce que c'est pénible que ca se fasse n'importe quand (établissement d'enseignement et de recherche avec >5k ordinateurs)... Bon, il est vrai qu'à 8h, quand on commence un TD avec des PCs, c'est pas le moment de faire des MAJ. Mais bon, ca peut se faire la nuit sans gêner personne et la machine peut être prête au matin. J'ai trouvé la situation ridicule et dangereuse. Vivement demain pour voir l'étendue des dégâts !

je lis un peut partout que windows 10 ne serait pas affecté.
 
mais est ce réel ? ou bien est-ce le fait que windows update sur W10 soit si intrusif et oblige les utilisateurs à faire les mises à jour ?

J'ai cru voir que c'était plutot un patch appliqué en mars, sauf sur la creator, nativement patchée...

Faille corrigée dans la cumulative update de mars, donc W10 à jour, et a fortioti la version 1703, est effectivement à l'abri de cette faille.

 
T'as testé?    
 
 

Petite pensée à tous ceux qui ne sont volontairement pas à jour

c'est donc bien ce windows update "intrusif" qui aura sauvé les utilisateurs de W10