Que se passe-t-il si vous exécutez WannaCry après avoir installé les correctifs nécessaires?
Je comprends que WannaCry se propage en exploitant la vulnérabilité SMBv1, qui est corrigée par le patch MS17-010.
Est-ce à dire que même avec le correctif installé, WannaCry peut toujours infecter l'ordinateur - si l'utilisateur le télécharge et l'exécute - mais ne se propage pas à travers le réseau de l'ordinateur?
Windows Defender/tout logiciel de sécurité actuel bloque-t-il l'exécution de WannaCry si, par exemple, un utilisateur l'exécute?
Si vous téléchargez et exécutez WannaCry, il verrouillera toujours vos fichiers et tentera d'infecter d'autres ordinateurs non corrigés du réseau.
WannaCry a seulement besoin de l'exploit SMB pour entrer dans un système, pas pour en sortir. Une fois qu'il a le contrôle de votre système, il n'a pas besoin de l'exploit pour exécuter du code arbitraire, y compris le ver. Le correctif MS17-010 protège votre ordinateur contre les infections par cet exploit, mais il n'empêche pas votre ordinateur d'infecter d'autres machines sur le même réseau si ces autres les machines ne sont pas corrigées.
Pour protéger les autres ordinateurs du réseau, vous devez bloquer tout le trafic sortant vers le port 445. Je n'ai pas (encore) vu WannaCry essayer de contourner un port sortant bloqué.
Il existe plusieurs variantes de WannaCry. Tout cela semble être détecté par les principaux logiciels antivirus, y compris Windows Defender. Vous pouvez voir une liste complète des logiciels antivirus qui détectent une version particulière sur Virus Total, par exemple pour cet exemple . comae.io semble avoir une compilation décente de variantes trouvées dans la nature que vous pouvez rechercher sur Virus Total.
Il y a deux acteurs dans la défense contre WannaCry.
D'un côté, il y a Microsoft, responsable de la correction du mode de propagation de type ver, exploitant comme vous l'avez dit la vulnérabilité MS17-010 et utilisant les exploits EternalBlue et DouplePulsar publiés par les Shadow Brokers.
D'un autre côté, il y a les fournisseurs d'antivirus, qui doivent mettre à jour leurs signatures pour réellement protéger le système.
Donc, si vous installez les correctifs (supposez que vous faites référence aux correctifs de Microsoft), vous protégez votre réseau du point de vue que vous ne permettez pas au malware de se propager à travers le MS17-010. Cependant, vous avez toujours besoin d'un antivirus mis à jour pour protéger les fichiers dans votre système.
MISE À JOUR
Par souci d'exhaustivité, comme l'a souligné knbk dans sa réponse, WannaCry peut infecter d'autres machines du réseau sans exploiter MS17-010. Cela serait possible si ces machines ont partagé des volumes avec l'hôte infecté, mais si ce n'est pas le cas, WannaCry utilise l'exploit pour se déplacer horizontalement sur le réseau, atteignant ainsi plus d'ordinateurs. Précisément, ce comportement semblable à un ver est ce qui le place au-dessus du reste des ransomwares, car généralement les ransomwares dépendent de tromper l'utilisateur pour être infecté.
Les versions antérieures de WannaCry ne se diffusaient pas via SMB, alors oui - il est absolument possible de toujours infecter votre PC avec WannaCry.
En savoir plus ici: https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware
Bitdefender, Symantec, Norton et probablement tous les principaux logiciels antivirus devraient être capables de détecter et de bloquer WannaCry dans leurs versions les plus récentes.
Il a été suggéré qu'il se soit d'abord diffusé par e-mail, mais d'après ce que je sais, cela n'est toujours pas confirmé.
Sachez également qu'il existe plusieurs versions de WannaCry et qu'elles ne se propagent pas toutes de la même manière.