Locky - le malware du moment

Avatar de l’utilisateur
LM2I_Laurent
Administrateur - Site Admin
Messages : 247
Inscription : jeu. 27 août 2009 17:00

Locky - le malware du moment

Message par LM2I_Laurent » jeu. 14 avr. 2016 19:27

Locky - Tout ce qu’il y a à savoir sur le malware du moment
Qu'est-ce que Locky ?
Locky est ce qu'on appelle un ransomware, c'est-à-dire un malware (pour Windows) qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données. Apparu en février 2016, Locky serait l’œuvre des mêmes personnes qui ont lâché le ransomware Dridex en 2015. Locky se répand actuellement comme une trainée de poudre dans toute l'Europe, notamment en France et en Allemagne. Et cerise sur le gâteau, il évolue chaque semaine en utilisant de nouvelles méthodes de propagation.

Comment Locky se propage-t-il ?
Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir "ATTN: Invoice J-XXXXXXX". Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format "invoice_J-XXXXXX.doc" ou un fichier "ZIP" ou encore un "EXE".
Quant au nom de l'expéditeur, ce n'est jamais le même. Il doit s'agir du propriétaire d'une des machines détournées via le botnet pour l'envoi de ces spams.

Image

Le fichier Word (.doc) attaché contient un texte étrange qui indique d'activer les macros pour pouvoir le lire. Si les macros sont activées, le ransomware Locky sera rapidement téléchargé et installé sur l'ordinateur.

Image

Quels sont les dégâts qu'il engendre ?
À partir de là, le ransomware commence à chiffrer les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l'argent
Voici les fichiers qui sont chiffrés et dont l'extension est changée en .locky (d'où le nom du malware...) :

Image

Liste des extensions de fichier détruis par Locky:

Image

Le fond d'écran de Windows est lui aussi remplacé, affichant la même demande.

Image

Locky supprime aussi les sauvegardes interne ("shadow copies") que Windows fait par l'intermédiaire de son VSS (Volume Snapshot Service), rendant impossible toute récupération.
Enfin, si la victime visite l'un des liens (HTTP classique ou .onion sur Tor) indiqué dans le message, elle tombera sur une page lui indiquant comment acheter puis payer avec des Bitcoins la modique somme de 0,5 BTC (200 € environ) à 1 BTC (400 € environ) pour obtenir un "déchiffreur" baptisé Locky Decryptor PRO.
Déchiffreur dont l'efficacité n'a pas été prouvée.

Image

Image

!!! Attention !!!
Locky infecte également l’ensemble des disques réseaux paramétrés sur la machine


Comment se protéger contre Locky ?
Il n'y a pas 36 000 façons de se protéger de ce genre de choses. Tout d'abord c'est un problème entre la chaise et le clavier. À savoir acquérir le réflexe de ne JAMAIS ouvrir une pièce jointe envoyé par mail, et ayant une extension et une provenance douteuse. Même si vous reconnaissez l'adresse de l'expéditeur, soyez tout aussi méfiant car cela peut très bien être usurpé. Ensuite, je vous recommande de vous équiper d'un vrai antivirus : ESET, Kaspersky, F-Secure...etc. Évitez les gratuits (la plupart sont des paniers percés) ou les petits outils de désinfection qui vous promettent monts et merveilles. Toutefois, l'antivirus n'est pas une solution miracle. Il peut vous protéger mais il ne faut pas non plus lui accorder toute votre confiance. C'est à vous d'être vigilant sur ce que vous ouvrez sur votre ordinateur.
  • Faites régulièrement les mises à jour de votre OS et de vos outils.
  • N'activez jamais les macros dans vos outils bureautiques sauf si vous savez ce que vous faites.
Image

Image
  • En cas de doute et de nécessité absolue d'ouvrir une pièce jointe, passez plutôt par une simple visionneuse de document pour ouvrir vos pièces jointes plutôt qu'un Word ou un Excel.
Image

Enfin, et c'est de loin le meilleur conseil : Faites des sauvegardes !!! Ailleurs que sur un partage réseau accessible à Locky évidemment. Ainsi, en cas d'infection, vous pourrez toujours récupérer vos données.


Comment savoir si vous êtes infecté par Locky ?
Vu ce que je viens de vous décrire, vous comprendrez qu'une infection par Locky saute aux yeux. Toutefois, pour en être certain, vous pouvez toujours vérifier que les clés de base de registre...
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
  • HKCU\Software\Locky\id
  • HKCU\Software\Locky\pubkey
  • HKCU\Software\Locky\paytext
...ou les fichiers suivants sont visibles sur votre poste.
  • C:\Users\(username)\AppData\Local\Temp\ladybi.exe
  • C:\Users\(username)\Documents\_Locky_recover_instructions.txt
Si c'est le cas, félicitations, vous êtes dans la M....E.

Comment s'en débarrasser ?
Maintenant si vous êtes infecté par ce malware, contrairement à ce que conseille le FBI : Ne payez pas la rançon. Vous allez perdre de l'argent et vous ne reverrez pas plus vos données, car rien n'indique que le déchiffreur en question soit efficace. De plus, payer c'est encourager les cybercriminels à continuer ce genre d'opérations de chantage.
Concrètement, si votre ordinateur est infecté par Locky, je vous recommande les étapes suivantes :
  • Faites le deuil de vos données. Soyez fort !
  • Mettez de côté les disques durs infectés (ou faites-en une copie) pour le jour très hypothétique où quelqu'un arrivera à pondre un outil pour récupérer vos datas.
  • Achetez de nouveaux disques durs ou formatez les anciens et repartez d'une sauvegarde saine ou réinstallez un Windows tout propre sur votre machine.
  • Puis reportez-vous au point "Comment se protéger contre Locky ?" de cet article.
Conclusion
Vous l'aurez compris, il n'y a pas de remède miracle contre Locky. C'est pourquoi, il faut que chacun prenne le temps d'informer ses amis, sa famille, ses collègues au sujet de ce malware afin d'enrayer sa propagation. Pour cela, je vous invite à leur partager cet article (ou un autre, peu importe) qui leur sera surement utile et qui les aidera peut-être à éviter la catastrophe.

Sources : .


@+
Laurent
Image
Webmaster
http://www.lm2i.fr
http://www.lm2i.eu

Image Image Image Image
.

Répondre