Au cours des dernières semaines, une attaque massive de ransomware WannaCry a frappé des entreprises à travers le monde. Exploitant une vulnérabilité SMBv1 obsolète de Windows via l'exploit EternalBlue, ce malware s'est propagé automatiquement sur les réseaux sans interaction utilisateur. Bien que l'épidémie soit contenue, les victimes font face à d'importants dommages.
Si vous êtes infecté, ne payez surtout pas la rançon. Les cybercriminels ne respectent aucune promesse : aucune garantie de recevoir la clé de déchiffrement. Heureusement, un outil gratuit, WannaKiwi, développé par l'expert Adrien Guinet, permet de récupérer la clé en extrayant les nonces critiques laissés en mémoire par WannaCry.
Cette méthode n'est pas infaillible : l'ordinateur ne doit pas avoir été redémarré après infection, et la mémoire doit rester intacte. Elle fonctionne sur Windows XP, Vista, 7 et Server 2003/2008. Valeur sûre pour les victimes éligibles.
Téléchargez WannaKiwi sur GitHub et exécutez-le sur la machine infectée avec les paramètres par défaut. Si les nonces sont récupérés, le déchiffrement démarre automatiquement. Consultez le guide du développeur pour plus de détails.
WannaCry épargne Windows 10 et les versions patchées de Windows 7. Il cible principalement les systèmes obsolètes sans mises à jour. Installez toujours les correctifs de sécurité Microsoft !
Pour vous protéger des variantes, désactivez SMBv1 via PowerShell : Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol.
Avez-vous été touché par WannaCry ? L'outil a-t-il fonctionné ? Partagez votre expérience en commentaires !
Crédit image : Zephyr_p via Shutterstock
[]