Rançongiciel – WannaCry

Numéro : AL17-006
Date : Le 15 mai 2017

Objet

La présente alerte a pour but d’attirer l’attention sur une campagne de rançongiciels de grande envergure et de fournir des directives et des conseils en matière d’atténuation des risques.

Évaluation

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) a été informé de l’existence d’une campagne de rançongiciels de grande envergure. Baptisée « Wcry », « Wana », « Wcrypt », a« wannacrypt », « WanaDecryptor » ou « WanaCry », cette campagne déjà fait des victimes au sein de nombreuses organisations partout dans le monde. Le CCRIC continue de collaborer avec ses partenaires au pays et à l’étranger afin d’en mesurer les répercussions au Canada et de fournir des directives et de conseils en matière d’atténuation des risques.

Un rançongiciel peut avoir de graves conséquences pour les personnes, les entreprises, les infrastructures essentielles et les gouvernements. En plus de perdre l’accès à ses renseignements de nature délicate ou exclusive, la victime doit également composer avec des activités courantes profondément perturbées, et son organisation risque d’essuyer de lourdes pertes financières et de voir sa réputation irrémédiablement entachée.

La campagne de rançongiciels WannaCry exploiterait la vulnérabilité décrite dans le bulletin de sécurité Microsoft MS17-010 pour se propager dans le réseau au moyen du protocole SMBv1. Le maliciel pourrait alors infecter d’autres appareils connectés au même réseau s’ils ne sont pas protégés par un correctif.

Le CCRIC recommande fortement de ne pas payer la rançon exigée, puisque rien ne garantit que l’auteur supprimera le chiffrement par la suite. En outre, le déchiffrement des fichiers ne signifie pas que l’infection elle-même a été supprimée.

Mesures Recommandées

Le CCRIC recommande aux organisations de prendre connaissance des mesures d’atténuation suivantes et d’envisager de les mettre en œuvre en fonction de leur environnement réseau. De plus, des indicateurs de compromission, y compris une signature Yara, et une analyse de la menace sont disponibles auprès de l’équipe d’intervention en cas d’urgence informatique des États-Unis (US-CERT). Voir le lien URL plus bas.

Conseils au sujet de la propagation par le protocole SMBv1

Conseils généraux pour atténuer les vecteurs d’infection courants dans les courriels :

Références :

Date de modification :