Pour gérer vos consentements :

WannaCry et maintenant les variantes !

Le monde a connu un véritable blietzkrieg mené par le ransomware WannaCry. Sa facile duplication au sein des réseaux, en a fait une arme redoutable. Un jeune hacker, @malwaretechblog, a réussi cependant à freiner la propagation du virus en découvrant un « kill switch » caché dans le code. Il s’agissait d’un nom de domaine libre : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Ce système est une sécurité imaginée par les développeurs du malware, afin d’éviter les analyses par les systèmes de sécurité basée sur des sandbox.

Une variante sans kill switch

Une pause salutaire, mais éphémère, comme l’explique le jeune hacker son blog. « Notre système de screening n’a arrêté que cet échantillon, et rien n’empêche les hackers de supprimer la vérification du domaine et d’essayer à nouveau. »

Effectivement, les cyber-escrocs derrière WannaCry ont rapidement mis à jour la souche du ransomware. Le hacker Matt Suiche et Kaspersky Lab ont découvert des variantes intégrant de nouveaux kill switch, bloquées temporairement par l’achat de ces nouveaux noms de domaines. Plus inquiétant, Kaspersky a livré un échantillon d’un dérivé de WannaCry ne comprenant pas de kill switch. Ce sample est difficile à analyser, souligne l’éditeur, car il est partiellement corrompu.

Les copycats personnalisables fleurissent

Dans la même veine, nos confrères de Bleepincomputer ont dégoté des variantes de WannaCry avec comme élément commun, une personnalisation du rançongiciel en fonction des cibles. Premier de ces imitations, DarkoderCrypt0r semble le plus avancé en reprenant la fenêtre de WannaCry et en le personnalisant à ses couleurs (titre, adresses bitcoin). La différence avec son sinistre homologue est que DarkoderCrypt0r ne fait que chiffrer les données en ajoutant l’extension .Darkcry.

Seconde imitation: Aron WanaCrypt0r 2.0 Generator v1.0. Cette déclinaison donne au développeur une grande possibilité de personnalisation de l’écran de verrouillage. Le texte, la couleur et les images de cette fenêtre sont adaptables. Par contre la variante ne permet pas de personnaliser l’exécutable du ransomware, qui reste la souche WanaCrypt0r.

La copie WannaCrypt 4.0 est pour l’instant en plein développement. Elle est orientée vers la Thaïlande, car la langue par défaut pour l’écran de verrouillage est le thaïlandais. Une adaptation probablement réalisée par un développeur adepte de cette langue, car la version originale de WannaCry ne supportait pas le thaïlandais.

Enfin, Wanna Crypt v2.5 en est à des balbutiements. Pour l’instant, seul l’écran de verrouillage s’affiche. On peut remarquer un menu déroulant pour permettre de choisir sa langue.

D’autres imitations devraient suivre pour amplifier une diffusion déjà bien répandue.

A lire aussi :

WannaCry : autopsie du ransomware 2.0, boosté par les exploits de la NSA

La parade n’existe pas pour contrer les futures affaires WannaCry

Recent Posts

Jean-Noël Barrot, nouveau ministre délégué chargé du numérique

Jean-Noël Barrot est nommé ministre délégué chargé de la Transition numérique et des Télécommunications du…

4 heures ago

Microsoft peine à convertir à sa « nouvelle expérience commerciale »

Microsoft concède de nouveaux reports dans la mise en place de la « nouvelle expérience…

4 heures ago

PC, tablettes et smartphones : la dégringolade qui s’annonce

Tensions géopolitiques, inflation et difficultés d'approvisionnement impactent à la baisse le marché des terminaux. En…

6 heures ago

Le W3C dit non à Google et Mozilla sur l’identité décentralisée

La spécification DID (Decentralized Identifiers) passera au stade de recommandation W3C début août, en dépit…

7 heures ago

Silicon Data Awards 2022 – A vos candidatures !

La 1ère édition des Silicon Data Awards est lancée ! Rejoignez le concours avant le…

7 heures ago

Open Source : entre la SFC et GitHub, le torchon brûle

L'entrée en phase commerciale de Copilot ne passe pas. La Software Freedom Conservancy (SFC) a…

10 heures ago