(Attacks come in from the outside)

Le virus WannaCry exploite les ordinateurs non corrigés en utilisant la vulnérabilité ETERNALBLUE.

WannaCry essaie de charger une clé publique spécifique à l’infection nommée « 00000000.pky ».

Si elle n’existe pas, WannaCry utilise « CryptGenKey » pour créer une paire de clés.

Il enregistre la partie publique sous le nom « 00000000.pky » et utilise la clé maître (MASTER KEY) pour chiffrer la partie privée, qu’il enregistre sous le nom « 00000000.eky

WannaCry utilise CryptGenRandom pour générer une clé AES, une par victime.

Le fichier de la victime est chiffré avec AES.

La clé AES est ensuite chiffrée avec la clé publique spécifique à l’infection générée précédemment, et cette version chiffrée de la clé est stockée dans le fichier.

Cette clé (chiffrée) est nécessaire pour déchiffrer le fichier, ce qui signifie qu’il faut la partie privée de la clé spécifique à l’infection — et pour obtenir cette dernière, il faut la partie privée de la CLÉ MAÎTRE.

Nous n’avons que sa partie publique

🔒

Une porte dérobée appelée DOUBLEPULSAR est installée sur les ordinateurs infectés

Les ordinateurs infectés envoient des analyses et des attaques contre d’autres ordinateurs, ce qui permet de propager le ver

Les exploits qu’il utilise ont été créés par le groupe Equation de la NSA.

Les vulnérabilités ont ensuite été corrigées par Microsoft.

Puis, les exploits ont été divulgués au public par le groupe ShadowBrokers

La plupart des types de fichiers présents sur l’ordinateur sont chiffrés un par un, chacun avec une clé différente, ce qui rend leur accès impossible pour l’utilisateur.