Si toutes les informations sur l’attaque ne sont pas encore connues, les premiers éléments dont nous disposons indiquent que :

• Les machines concernées sont celles qui utilisent le système d’exploitation Windows, toutes versions confondues ;
• Le ver se propage à l’aide de l’exploit EternalBlue (lié aux vulnérabilités CVE-2017-0143 à CVE-2017-0148 ci-dessus) affectant SMB, que vous pouvez neutraliser à l’aide du patch de sécurité du bulletin Microsoft MS17-010 disponible depuis le 14 Mars 2017 ;
• Le ver recherche également les identifiants accessibles en mémoire (processus lsass.exe) pour se connecter avec WMI ou PSExec sur le reste du parc informatique.

L’adresse mail utilisée par le(s) auteur(s) de l’attaque a été désactivée par l’hébergeur et qu’il est donc inutile de payer la rançon : vous ne pourrez pas récupérer la clé de déchiffrement même contre paiement.
En cas d’infection, nous vous recommandons ainsi d’isoler la machine touchée.
Par ailleurs, le processus de chiffrement utilisé par le ransomware nécessite un redémarrage de la machine. Ainsi, une machine récemment infectée peut être immédiatement éteinte afin d’en sauver les données, pour être ensuite restaurée sur une base saine.

RECOMMANDATIONS

L’Agence Nationale de la Sécurité des Systèmes d’Information a émis les bulletins CERTFR-2017-ALE-012 et CERTFR-2017-ALE-010 avec une série de préconisations.

L’équipe de Cyberwatch recommande :
• d’appliquer les correctifs de sécurité Windows liés à SMB dans les plus brefs délais afin de réduire le risque d’infection ;
• de surveiller les connexions WMI ou PSExec en provenance de sources non-légitimes.

Dans le cas où l’application des correctifs de sécurité n’est pas possible, nous vous recommandons de limiter l’exposition du service SMB, soit en coupant les flux via votre pare-feu (ports 135 et 445), soit en désactivant le service. Des scripts PowerShell permettant d’automatiser cette opération vous sont proposés sur cette page par Microsoft.