Fred'ô farias06

C’est simplement l’enfer sous Windows :)

Si par exemple on fait un volume :

docker volume create -name mes-datas

Ensuite pour avoir accès :

$ docker run --privileged -it -v /var/run/docker.sock:/var/run/docker.sock jongallant/ubuntu-docker-client 
$ docker run --net=host --ipc=host --uts=host --pid=host -it --security-opt=seccomp=unconfined --privileged --rm -v /:/host alpine /bin/sh
$ chroot /host
$ cd /var/lib/docker/volumes/mes-datas/_data/

Ensuite pour sortir:

$ exit
$ exit
$ exit

J’utilise donc ce conteneur : https://hub.docker.com/r/jongallant/ubuntu-docker-client .

Misère de misère.

Les premiers articles sortent :

• http://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/direct-une-cyberattaque-mondiale-frappe-entreprises-et-administrations_2257807.html 

• http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-012.pdf

• https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel-3/

• • Référence  : CERTFR-2017-ALE-012 : 

• Faire la mise à jour :Microsoft MS17-010 :

  https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx

   

Une fois encore c’est Windows qui est impacté … les informations que j’ai :

• Quand le PC affiche ceci il faut le rebooter car contrairement a ce qu’il marque il est en cours d’encryption (ensuite il faudra mettre le disque sur une autre machine):
• 
• Le message qui apparait à la fin de l’encryption :
• 
• Il faut supprimer cette signature (information à confirmer)

Il semblerait aussi qu’il y ait un fichier perfc.dat ou dllhost.dat ou perfc sous C:/Windows/ à supprimer (et non perfc.dll) . Cette information est aussi à confirmer. 

Les dernières informations suite à mon précédent post : https://www.cyber-neurones.org/2017/05/wannacry-nouvelle-grosse-faille-de-securite-sous-windows/ .

• Le mot de passe du fichier ZIP serait WNcry@2ol7 (à vérifier).
• Kaspersky le détecte comme un rootkit :MEM:Trojan.Win64.EquationDrug.gen
• Il y a eu plus de 100 paiements de raçons pour environ 26K $.
• Mieux comprendre le schéma d’infection :

• Un outil pour empêcher l’exécution de WannaCry : https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4485-nomorecry-tool-ccn-cert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html .
• Documentation du CERT-FR : http://cert.ssi.gouv.fr/site/CERTFR-2017-ALE-010/index.html 
• Désactivation SMB Manuelle :

• Les hashtags sur Twitters : #WannaCry #WannaCrypt #CyberAttaque #Ransomware #WannaCryp0r #WannaCryAttack

Maintenant il va falloir attendre lundi matin pour voir l’ampleur exacte des dégâts : https://intel.malwaretech.com/botnet/wcrypt/?t=1h&bid=all    En résumé en France, d’un coté on à le FSB qui nous fait des fake news “Macron Leaks”:

Il est très important de faire les mise à jours Windows ( https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ) et de désactiver SMB  ( Panneau de config -> Programmes -> Activer désactiver fonctionnalités -> Décocher support de partage de fichiers SMB ) :

L’autres solutions est de bloquer les ports : 135, 137, 138, 139, 445, 1900. Mais c’est pas le mieux.

Vous pouvez aussi vérifier ce répertoire :

Si vous lisez bien l’anglais, voici le lien Microsoft sur l’attaque :