Uiwix, un nouveau ransomware à la sauce WannaCry ?
Est-ce une réplique de WannaCry ou du simple buzz ? Les spécialistes de la sécurité ne sont pas d'accords sur l'attitude à avoir face à la découverte d'un ransomware baptisé Uiwix. La sonnette d'alarme a été tirée par l'éditeur danois Heimdal Security sur Uiwix, un rançongiciel qui a la particularité de reprendre les failles SMB v1 et v2 (EternalBlue) de Windows comme WannaCry. Mais à la différence de son méphitique cousin, Uiwix ne comprend pas de kill switch, une fonction qui permet de contenir la propagation du virus. Une menace plus grande que Wannacry ?
Une absence de réplication qui interroge
Plusieurs experts en sécurité se sont insurgés contre cette affirmation. En premier lieu, ils considèrent qu'aucune souche d'Uiwix n'a été observée dans la nature. D'autre part, l'analyse de l'échantillon de Heimdal montre que le rançongiciel ne dispose pas des fonctionnalités de réplication de type ver comme dans le cas de WannaCry. Nos confrères de Bleepingcomputer ajoutent que les développeurs du ransomware s'appuient sur un scan et un script pour infecter les PC vulnérables.
Sur les détails techniques, les spécialistes observent que le malware est doté d'une protection anti-VM. Il détecte les différentes DLL liées à des machines virtuelles : Vmware, VirtualBox, Virtual PC, Sunbelt Sandbox, Sandboxie, Cuckoo. Sinon, sur la partie chiffrement des données, à l'infection, le ransomware ajoute l'extension .uiwix à l'ensemble des fichiers infectés. En complément, il place un fichier DECODE_FILES.txt, contenant les informations de paiement pour le déchiffrement. La rançon demandée est de 0.11943 bitcoin soit environ 200 euros.
La Chine alerte
Si les experts en sécurité se disputent sur la dangerosité et le développement d'Uiwix, la Chine le considère comme une menace importante. Le CERT Chinois a lancé une alerte sur ce ransomware et conseille aux entreprises de mettre à jour les OS Windows touchés, notamment XP, avec les patchs émis en urgence par Microsoft.
La Chine a payé un lourd tribut à WannaCry avec 30 000 sociétés touchées à travers des compagnies ferroviaires, universités, administrations, etc. Les autorités chinoises pointent du doigt les Etats-Unis, accusés d'hégémonie sur le réseau et la possession d'armes cyber.
A lire aussi :
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
WannaCry a été doublé par l'attaque du crypto-mineur Adylkuzz
Lire aussi : Intégrer la Chine à son réseau SASE, pas si simple !
Après WannaCry : les Shadow Brokers promettent de nouvelles révélations
Crédit Photo : LeoWolfert-Shutterstock
Sur le même thème
Voir tous les articles Cybersécurité