Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Locky – Tout ce qu’il y a à savoir sur le malware du moment

Vous êtes quelques-uns à m’avoir demandé d’écrire un article sur le nouveau malware qui fait rage en ce moment : Locky. Et bien voilà.

Qu’est-ce que Locky ?

Locky est ce qu’on appelle un ransomware, c’est-à-dire un malware (pour Windows) qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données. Apparu en février 2016, Locky serait l’œuvre des mêmes personnes qui ont lâché le ransomware Dridex en 2015. Locky se répand actuellement comme une trainée de poudre dans toute l’Europe, notamment en France et en Allemagne. Et cerise sur le gâteau, il évolue chaque semaine en utilisant de nouvelles méthodes de propagation.

Comment Locky se propage-t-il ?

Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir « ATTN: Invoice J-XXXXXXX ». Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format « invoice_J-XXXXXX.doc ».

Quant au nom de l’expéditeur, ce n’est jamais le même. Il doit s’agir du propriétaire d’une des machines détournées via le botnet pour l’envoi de ces spams.

Screenshot 2016-03-08 15.26.59

Le fichier Word (.doc) attaché contient un texte étrange qui indique d’activer les macros pour pouvoir le lire. Je vous rassure, si les macros sont activées, le texte ne sera pas réellement déchiffré (hé oui). Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l’ordinateur.

locky-macros-640
Quels sont les dégâts qu’il engendre ?

À partir de là, le ransomware commence à chiffrer les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l’argent

Voici les fichiers qui sont chiffrés et dont l’extension est changée en .locky (d’où le nom du malware…) :

locky_renamed

.m4u | .m3u | .mid | .wma | .flv | .3g2 | .mkv | .3gp | .mp4 | .mov | .avi | .asf | .mpeg | .vob | .mpg | .wmv | .fla | .swf | .wav | .mp3 | .qcow2 | .vdi | .vmdk | .vmx | .gpg | .aes | .ARC | .PAQ | .tar.bz2 | .tbk | .bak | .tar | .tgz | .gz | .7z | .rar | .zip | .djv | .djvu | .svg | .bmp | .png | .gif | .raw | .cgm | .jpeg | .jpg | .tif | .tiff | .NEF | .psd | .cmd | .bat | .sh | .class | .jar | .java | .rb | .asp | .cs | .brd | .sch | .dch | .dip | .pl | .vbs | .vb | .js | .asm | .pas | .cpp | .php | .ldf | .mdf | .ibd | .MYI | .MYD | .frm | .odb | .dbf | .db | .mdb | .sql | .SQLITEDB | .SQLITE3 | .asc | .lay6 | .lay | .ms11 (Security copy) | .ms11 | .sldm | .sldx | .ppsm | .ppsx | .ppam | .docb | .mml | .sxm | .otg | .odg | .uop | .potx | .potm | .pptx | .pptm | .std | .sxd | .pot | .pps | .sti | .sxi | .otp | .odp | .wb2 | .123 | .wks | .wk1 | .xltx | .xltm | .xlsx | .xlsm | .xlsb | .slk | .xlw | .xlt | .xlm | .xlc | .dif | .stc | .sxc | .ots | .ods | .hwp | .602 | .dotm | .dotx | .docm | .docx | .DOT | .3dm | .max | .3ds | .xml | .txt | .CSV | .uot | .RTF | .pdf | .XLS | .PPT | .stw | .sxw | .ott | .odt | .DOC | .pem | .p12 | .csr | .crt | .key

Le fond d’écran de Windows est lui aussi remplacé, affichant la même demande.

locky-wallpaper-640

Locky supprime aussi les sauvegardes interne (« shadow copies ») que Windows fait par l’intermédiaire de son VSS (Volume Snapshot Service), rendant impossible toute récupération.

Enfin, si la victime visite l’un des liens (HTTP classique ou .onion sur Tor) indiqué dans le message, elle tombera sur une page lui indiquant comment acheter puis payer avec des Bitcoins la modique somme de 0,5 BTC (200 € environ) à 1 BTC (400 € environ) pour obtenir un « déchiffreur » baptisé Locky Decryptor PRO. Déchiffreur dont l’efficacité n’a pas été prouvée.

locky_page Figure-6-4

Là où ça pose de vrais problèmes, notamment dans les entreprises, c’est au niveau des disques réseaux partagés. Locky chiffre aussi tout ce qui l’intéresse sur ces partages réseau. Et quand on sait que la plupart du temps, c’est à cet endroit qu’est partagée toute l’intelligence collective d’une société, il y a de quoi avoir de grosses suées froides.

Comment se protéger contre Locky ?

Comme je le disais dans mon dossier sur Cryptolocker, il n’y a pas 36 000 façons de se protéger de ce genre de choses. Tout d’abord c’est un problème entre la chaise et le clavier. À savoir acquérir le réflexe de ne JAMAIS ouvrir une pièce jointe envoyé par mail, et ayant une extension et une provenance douteuse. Même si vous reconnaissez l’adresse de l’expéditeur, soyez tout aussi méfiant car cela peut très bien être usurpé. Ensuite, je vous recommande de vous équiper d’un vrai antivirus : Norton, Kaspersky, ESET, F-Secure…etc. Évitez les AV gratuits (la plupart sont des paniers percés) ou les petits outils de désinfection qui vous promettent monts et merveilles. Toutefois, l’antivirus n’est pas une solution miracle. Il peut vous protéger mais il ne faut pas non plus lui accorder toute votre confiance. C’est à vous d’être vigilant sur ce que vous ouvrez sur votre ordinateur.

Faites régulièrement les mises à jour de votre OS et de vos outils. N’activez jamais les macros dans vos outils bureautiques sauf si vous savez ce que vous faites. Au pire, en cas de doute et de nécessité absolue d’ouvrir une pièce jointe, passez plutôt par une simple visionneuse de document pour ouvrir vos pièces jointes plutôt qu’un Word ou un Excel.

Si vous avez des employés, ou si vous êtes administrateur réseau dans une société, faites immédiatement une réunion d’information auprès des employés pour les avertir et rappeler ces bonnes bases. Ensuite, concernant les partages réseau, passez en revue les droits d’accès (et on arrête de se loguer partout en tant qu’Administrateur de domaine, s’il vous plait ) et placez les données importantes en sécurité.

Enfin, et c’est de loin le meilleur conseil de ma liste : Faites des sauvegardes !!! Ailleurs que sur un partage réseau accessible à Locky évidemment. Ainsi, en cas d’infection, vous pourrez toujours récupérer vos données.

Edit  : Je viens de publier un article avec une astuce pour se bloquer Locky avant qu’il s’installe.

Comment savoir si vous êtes infecté par Locky ?

Vu ce que je viens de vous décrire, vous comprendrez qu’une infection par Locky saute aux yeux. Toutefois, pour en être certain, vous pouvez toujours vérifier que les clés de base de registre…

  • HKCUSoftwareMicrosoftWindowsCurrentVersionRunLocky
  • HKCUSoftwareLockyid
  • HKCUSoftwareLockypubkey
  • HKCUSoftwareLockypaytext

…ou les fichiers suivants sont visibles sur votre poste.

  • C:Users(username)AppDataLocalTempladybi.exe
  • C:Users(username)Documents_Locky_recover_instructions.txt

Si c’est le cas, félicitations, vous êtes dans la merde.

Comment s’en débarrasser ?

Maintenant si vous êtes infecté par ce malware, contrairement à ce que conseille le FBI : Ne payez pas la rançon. Vous allez perdre de l’argent et vous ne reverrez pas plus vos données, car rien n’indique que le déchiffreur en question soit efficace. De plus, payer c’est encourager les cybercriminels à continuer ce genre d’opérations de chantage.

Concrètement, si votre ordinateur est infecté par Locky, je vous recommande les étapes suivantes :

  • Faites le deuil de vos données. Soyez fort !
  • Mettez de côté les disques durs infectés (ou faites en une copie) pour le jour très hypothétique où quelqu’un arrivera a pondre un outil pour récupérer vos datas.
  • Achetez de nouveaux disques durs ou formatez les anciens et repartez d’une sauvegarde saine ou réinstallez un Windows tout propre sur votre machine.
  • Puis reportez-vous au point « Comment se protéger contre Locky ? » de cet article.

Conclusion

Vous l’aurez compris, il n’y a pas de remède miracle contre Locky. C’est pourquoi, il faut que chacun prenne le temps d’informer ses amis, sa famille, ses collègues au sujet de ce malware afin d’enrayer sa propagation. Pour cela, je vous invite à leur partager cet article (ou un autre, peu importe) qui leur sera surement utile et qui les aidera peut être à éviter la catastrophe.

Sources :

  • http://community.hpe.com/t5/Security-Research/Feeling-even-Locky-er/ba-p/6834311
  • http://blog.fortinet.com/post/a-closer-look-at-locky-ransomware-2
  • https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/
  • https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
  • http://www.symantec.com/connect/blogs/locky-ransomware-aggressive-hunt-victims
  • https://blogs.forcepoint.com/security-labs/locky-ransomware-encrypts-documents-databases-code-bitcoin-wallets-and-more
  • http://phishme.com/locky-a-new-encryption-ransomware-borrowing-ideas-from-the-best/
  • https://www.sensepost.com/blog/2016/understanding-locky/

Voici quelques astuces de la communauté pour se protéger contre Locky:

 

De Faco:
Bonjour,

juste inscrit, premier post.

Je suis admin réseau est j’ai eu le cas hier, donc je vais préciser un peu ( avec mes connaissance actuelles).

-Le message peux être en bon français (pas comme quand j’écris ^^), c’était le cas chez moi.
-La pièce jointe peu être un .doc avec Macro, un .exe ou un .zip (pour ma part, c’était un zip).
-Il s’attaque bien aux partages réseau (mes sauvegardes étaient de samedi, ouf ! )
-Avec un serveur windows, vous pouvez bloquer son action avec des restrictions de fichier. je vous donne les extensions que je filtraient plus la petite nouvelle « *.locky » :

filescrn.exe filegroup add /filegroup: »CryptoLocker » /members: »*.aaa »

filescrn.exe filegroup modify /filegroup: »CryptoLocker » /members: »*.aaa|*.cryptotorlocker*|*.ecc|*.encrypted|*.exx|*.ezz|*.frtrss|*.vault|*restore_fi*.*|*want your files back.*|confirmation.key|cryptolocker.*|decrypt_instruct*.*|enc_files.txt|help_decrypt*.*|help_restore*.*|help_your_file*.*|how to decrypt*.*|how_to_decrypt*.*|how_to_recover*.*|howtodecrypt*.*|install_tor*.*|last_chance.txt|message.txt|readme_for_decrypt*.*|recovery_file.txt|recovery_key.txt|vault.hta|vault.key|vault.txt|*@gmail_com_*|*.*exx|*.*oshit|*.*nochance|*.*locked|*.*kraken|*.*kb15|*.*enc*|*.*darkness|*.*crypto|*.*AES256|*.*cry|*@india.com*|*cpyt*|*crypt*|*decipher*|*install_tor*.*|*keemail.me*|*qq_com*|*ukr.net*|*restore_fi*.*|*help_restore*.*|*how_to_recover*.*|*.exx|*@freespeechmail.org|*.*[email protected]|*.*@mail2tor.com|*.*@scramble.io|*.locky » /Nonmembers: ».~lock.*.odt# »

Beaucoup de programmes font des fichiers lock quand ils ouvrent des documents, cela peux donc poser problème. Donc dans le filtre de fichier, rajouter les « /Nonmenbers » afin de ne pas avoir de problème (ex ici avec un fichier .odt)

++

Edit :
Vous pouvez aussi faire des restrictions logiciels à l’aide de GPO en bloquant les exe et autres zip dans les différents dossiers temp de windows (utilisateur/systeme). Pareil, avec parcimonie, certains programmes colle des exe ou autre dans ces dossiers et ne sont pas des menaces, à identifier et autoriser.

De Sebiiiii:
Comme Faco, je m’inscrit enfin, pour relater mon expérience pro.
Un client a eu locky il y a 2 semaines.
Il est arrivé sans doute par PJ, sur un poste qui avait été désinfecté 2 semaines auparavant (sans doute restait-il un rootkit quelque part, eset antivirus pro ne l’a pas détecté et l’antivirus a été désinstallé dans cet intervalle de 2 semaines)
Oui, il va vraiment chercher tous les partages réseau, donc si votre « sauvegarde » est juste une copie sur un partage réseau, ce n’est pas bon du tout.
Pour le cas de mon client, un des serveurs hébergeant un programme spécifique n’était pas sauvegardé (une base gestion commerciale mdb de 700 Mo, alors que toutes les autres sonnées, plus de 2.5To, étaient correctement sauvegardées.)
Pas le choix, pas le temps d’attendre un décrypteur autre, la rançon (4 bitcoin dans leur cas) a été payée, en retenant son souffle quand à « l’honnêteté » du ransompirate.
Ouf, le système est automatisé, ça se voit, et les données ont été décryptées par l’exécutable envoyé.

Bref, pas glop, mais pour le business l’important est d’avoir récupéré les données.

De Jobpilot:
Nous avons été infecté par locky.
Comme c’est une personne assez importante dans l’entreprise qui à ouvert le fichier word et cliquer sur activer les macros (y a des giffles qui se perdent) ça nous à chiffrer plein de fichiers sur tous les shares réseaux ou il avait accès.

Ils nous a fallut 40min pour nous rendre compte qu’il y avait un problème.
Ils nous à fallut 5min pour isoler la machine (il était propriétaire des fichiers chiffrés) + 1h pour tester si d’autres machines (120 pc) étaient contaminé (si il y a des fichiers en .locky sur le disque dur C c’est qu’elle est contaminé) heureusement il était le seul contaminé.

Nous utilisons rsnapshot qui nous fait un snapshot des partages réseaux (1.3to) toutes les heures, donc à bloqué les deux serveurs qui font tourné rsnapshot.
après j’ai fait un script qui à chercher sur les serveurs de fichiers les .locky et qui les efface et un autre qui à fait un rsync -au depuis le dernier snapshot non contaminé en direction des serveurs de fichiers.

Bien sur les sauvegardes ne sont accessible que en sftp ou rsync. Résultat on a perdu peut être dans certain cas 40min de travail, par contre il nous a fallut tous le reste de la journée pour que tout rentre dans l’ordre.

Pour éviter les fichiers office piégé j’ai bloquer sur l’antispam (clearos) les fichiers office avec macro et ça à l’air de bien jouer.

Vous pouvez suivre toute la discussion et les astuces des Korbenautes sur le fil de discussion

Pour aller un peu plus loin dans les virus qui foutent la panique

Capture d'écran de l'application TrueCaller
CryptoLocker – Si vous avez été infecté, voici comment déchiffrer vos fichiers

Dimanche dernier, je vous parlais de Synolocker, une variante du cheval de Troie Cryptolocker qui a la particularité de chiffrer les NAS Synology et d’inciter les victimes à payer pour récupérer leurs fichiers.
Pas cool.

Mais voici une excellente nouvelle…

lire la suite

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Lien sponsorisé


Les articles du moment