Qu’est-ce que le ransomware WannaCry ?

WannaCry est un logiciel de rançon qui peut infecter et se propager rapidement sur un certain nombre de réseaux informatiques.

WannaCry se compose de plusieurs composants et infiltre l'ordinateur cible sous la forme de ce que l'on appelle un doppler, qui est un programme autonome qui extrait les autres composants de l'application intégrés dans le ransomware. Ces composants incluent une application qui crypte et déchiffre les données, des fichiers contenant des clés de cryptage et une copie de TOR.

Le code du programme n’est pas obscurci et est relativement facile à analyser pour les professionnels de la sécurité. Une fois lancé, le ransomware tente d'accéder à une URL codée en dur connue sous le nom de kill switch et, s'il n'y parvient pas, procède à la recherche et au cryptage de fichiers dans des formats spécifiques, tels que les fichiers Microsoft Office ou les fichiers MP3. Ce cryptage rend les fichiers inaccessibles à l'utilisateur de l'ordinateur. Le ransomware affiche alors une demande de rançon, exigeant un montant spécifique de devise, généralement du Bitcoin (BTC), afin de décrypter et ainsi récupérer les fichiers.

En ce qui concerne Windows, la vulnérabilité exploitée par WannaCry implique l'implémentation Windows du protocole Server Message Block (SMB). Le protocole SMB permet à différents nœuds d'un réseau de communiquer, et la mise en œuvre de Microsoft peut être trompée, via des paquets spécialement conçus, pour exécuter du code arbitraire.

WannaCry peut être considéré comme un excellent exemple de ce à quoi peuvent ressembler les ransomwares cryptographiques et de la manière dont ils peuvent être utilisés pour extorquer de l’argent. Pour ce faire, il crypte les fichiers potentiellement précieux et peut même empêcher complètement un utilisateur d'accéder à son ordinateur. Tout ransomware utilisant le cryptage est appelé crypto ransomware. Le type qui verrouille spécifiquement les utilisateurs hors de l’ordinateur est appelé ransomware locker.