Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Locky – Tout ce qu’il y a à savoir sur le malware du moment

Vous êtes quelques-uns à m’avoir demandé d’écrire un article sur le nouveau malware qui fait rage en ce moment : Locky. Et bien voilà.

Qu’est-ce que Locky ?

Locky est ce qu’on appelle un ransomware, c’est-à-dire un malware (pour Windows) qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données. Apparu en février 2016, Locky serait l’œuvre des mêmes personnes qui ont lâché le ransomware Dridex en 2015. Locky se répand actuellement comme une trainée de poudre dans toute l’Europe, notamment en France et en Allemagne. Et cerise sur le gâteau, il évolue chaque semaine en utilisant de nouvelles méthodes de propagation.

Comment Locky se propage-t-il ?

Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir « ATTN: Invoice J-XXXXXXX ». Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format « invoice_J-XXXXXX.doc ».

Quant au nom de l’expéditeur, ce n’est jamais le même. Il doit s’agir du propriétaire d’une des machines détournées via le botnet pour l’envoi de ces spams.

Screenshot 2016-03-08 15.26.59

Le fichier Word (.doc) attaché contient un texte étrange qui indique d’activer les macros pour pouvoir le lire. Je vous rassure, si les macros sont activées, le texte ne sera pas réellement déchiffré (hé oui). Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l’ordinateur.

locky-macros-640

Quels sont les dégâts qu’il engendre ?

À partir de là, le ransomware commence à chiffrer les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l’argent

Voici les fichiers qui sont chiffrés et dont l’extension est changée en .locky (d’où le nom du malware…) :

locky_renamed

.m4u | .m3u | .mid | .wma | .flv | .3g2 | .mkv | .3gp | .mp4 | .mov | .avi | .asf | .mpeg | .vob | .mpg | .wmv | .fla | .swf | .wav | .mp3 | .qcow2 | .vdi | .vmdk | .vmx | .gpg | .aes | .ARC | .PAQ | .tar.bz2 | .tbk | .bak | .tar | .tgz | .gz | .7z | .rar | .zip | .djv | .djvu | .svg | .bmp | .png | .gif | .raw | .cgm | .jpeg | .jpg | .tif | .tiff | .NEF | .psd | .cmd | .bat | .sh | .class | .jar | .java | .rb | .asp | .cs | .brd | .sch | .dch | .dip | .pl | .vbs | .vb | .js | .asm | .pas | .cpp | .php | .ldf | .mdf | .ibd | .MYI | .MYD | .frm | .odb | .dbf | .db | .mdb | .sql | .SQLITEDB | .SQLITE3 | .asc | .lay6 | .lay | .ms11 (Security copy) | .ms11 | .sldm | .sldx | .ppsm | .ppsx | .ppam | .docb | .mml | .sxm | .otg | .odg | .uop | .potx | .potm | .pptx | .pptm | .std | .sxd | .pot | .pps | .sti | .sxi | .otp | .odp | .wb2 | .123 | .wks | .wk1 | .xltx | .xltm | .xlsx | .xlsm | .xlsb | .slk | .xlw | .xlt | .xlm | .xlc | .dif | .stc | .sxc | .ots | .ods | .hwp | .602 | .dotm | .dotx | .docm | .docx | .DOT | .3dm | .max | .3ds | .xml | .txt | .CSV | .uot | .RTF | .pdf | .XLS | .PPT | .stw | .sxw | .ott | .odt | .DOC | .pem | .p12 | .csr | .crt | .key

Le fond d’écran de Windows est lui aussi remplacé, affichant la même demande.

locky-wallpaper-640

Locky supprime aussi les sauvegardes interne (« shadow copies ») que Windows fait par l’intermédiaire de son VSS (Volume Snapshot Service), rendant impossible toute récupération.

Enfin, si la victime visite l’un des liens (HTTP classique ou .onion sur Tor) indiqué dans le message, elle tombera sur une page lui indiquant comment acheter puis payer avec des Bitcoins la modique somme de 0,5 BTC (200 € environ) à 1 BTC (400 € environ) pour obtenir un « déchiffreur » baptisé Locky Decryptor PRO. Déchiffreur dont l’efficacité n’a pas été prouvée.

locky_page Figure-6-4

Là où ça pose de vrais problèmes, notamment dans les entreprises, c’est au niveau des disques réseaux partagés. Locky chiffre aussi tout ce qui l’intéresse sur ces partages réseau. Et quand on sait que la plupart du temps, c’est à cet endroit qu’est partagée toute l’intelligence collective d’une société, il y a de quoi avoir de grosses suées froides.

Comment se protéger contre Locky ?

Comme je le disais dans mon dossier sur Cryptolocker, il n’y a pas 36 000 façons de se protéger de ce genre de choses. Tout d’abord c’est un problème entre la chaise et le clavier. À savoir acquérir le réflexe de ne JAMAIS ouvrir une pièce jointe envoyé par mail, et ayant une extension et une provenance douteuse. Même si vous reconnaissez l’adresse de l’expéditeur, soyez tout aussi méfiant car cela peut très bien être usurpé. Ensuite, je vous recommande de vous équiper d’un vrai antivirus : Norton, Kaspersky, ESET, F-Secure…etc. Évitez les AV gratuits (la plupart sont des paniers percés) ou les petits outils de désinfection qui vous promettent monts et merveilles. Toutefois, l’antivirus n’est pas une solution miracle. Il peut vous protéger mais il ne faut pas non plus lui accorder toute votre confiance. C’est à vous d’être vigilant sur ce que vous ouvrez sur votre ordinateur.

Faites régulièrement les mises à jour de votre OS et de vos outils. N’activez jamais les macros dans vos outils bureautiques sauf si vous savez ce que vous faites. Au pire, en cas de doute et de nécessité absolue d’ouvrir une pièce jointe, passez plutôt par une simple visionneuse de document pour ouvrir vos pièces jointes plutôt qu’un Word ou un Excel.

Si vous avez des employés, ou si vous êtes administrateur réseau dans une société, faites immédiatement une réunion d’information auprès des employés pour les avertir et rappeler ces bonnes bases. Ensuite, concernant les partages réseau, passez en revue les droits d’accès (et on arrête de se loguer partout en tant qu’Administrateur de domaine, s’il vous plait ) et placez les données importantes en sécurité.

Enfin, et c’est de loin le meilleur conseil de ma liste : Faites des sauvegardes !!! Ailleurs que sur un partage réseau accessible à Locky évidemment. Ainsi, en cas d’infection, vous pourrez toujours récupérer vos données.

Edit  : Je viens de publier un article avec une astuce pour se bloquer Locky avant qu’il s’installe.

Comment savoir si vous êtes infecté par Locky ?

Vu ce que je viens de vous décrire, vous comprendrez qu’une infection par Locky saute aux yeux. Toutefois, pour en être certain, vous pouvez toujours vérifier que les clés de base de registre…

  • HKCUSoftwareMicrosoftWindowsCurrentVersionRunLocky
  • HKCUSoftwareLockyid
  • HKCUSoftwareLockypubkey
  • HKCUSoftwareLockypaytext

…ou les fichiers suivants sont visibles sur votre poste.

  • C:Users(username)AppDataLocalTempladybi.exe
  • C:Users(username)Documents_Locky_recover_instructions.txt

Si c’est le cas, félicitations, vous êtes dans la merde.

Comment s’en débarrasser ?

Maintenant si vous êtes infecté par ce malware, contrairement à ce que conseille le FBI : Ne payez pas la rançon. Vous allez perdre de l’argent et vous ne reverrez pas plus vos données, car rien n’indique que le déchiffreur en question soit efficace. De plus, payer c’est encourager les cybercriminels à continuer ce genre d’opérations de chantage.

Concrètement, si votre ordinateur est infecté par Locky, je vous recommande les étapes suivantes :

  • Faites le deuil de vos données. Soyez fort !
  • Mettez de côté les disques durs infectés (ou faites en une copie) pour le jour très hypothétique où quelqu’un arrivera a pondre un outil pour récupérer vos datas.
  • Achetez de nouveaux disques durs ou formatez les anciens et repartez d’une sauvegarde saine ou réinstallez un Windows tout propre sur votre machine.
  • Puis reportez-vous au point « Comment se protéger contre Locky ? » de cet article.

Conclusion

Vous l’aurez compris, il n’y a pas de remède miracle contre Locky. C’est pourquoi, il faut que chacun prenne le temps d’informer ses amis, sa famille, ses collègues au sujet de ce malware afin d’enrayer sa propagation. Pour cela, je vous invite à leur partager cet article (ou un autre, peu importe) qui leur sera surement utile et qui les aidera peut être à éviter la catastrophe.

Sources :

  • http://community.hpe.com/t5/Security-Research/Feeling-even-Locky-er/ba-p/6834311
  • http://blog.fortinet.com/post/a-closer-look-at-locky-ransomware-2
  • https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/
  • https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
  • http://www.symantec.com/connect/blogs/locky-ransomware-aggressive-hunt-victims
  • https://blogs.forcepoint.com/security-labs/locky-ransomware-encrypts-documents-databases-code-bitcoin-wallets-and-more
  • http://phishme.com/locky-a-new-encryption-ransomware-borrowing-ideas-from-the-best/
  • https://www.sensepost.com/blog/2016/understanding-locky/

Voici quelques astuces de la communauté pour se protéger contre Locky:

 

De Faco:
Bonjour,

juste inscrit, premier post.

Je suis admin réseau est j’ai eu le cas hier, donc je vais préciser un peu ( avec mes connaissance actuelles).

-Le message peux être en bon français (pas comme quand j’écris ^^), c’était le cas chez moi.
-La pièce jointe peu être un .doc avec Macro, un .exe ou un .zip (pour ma part, c’était un zip).
-Il s’attaque bien aux partages réseau (mes sauvegardes étaient de samedi, ouf ! )
-Avec un serveur windows, vous pouvez bloquer son action avec des restrictions de fichier. je vous donne les extensions que je filtraient plus la petite nouvelle « *.locky » :

filescrn.exe filegroup add /filegroup: »CryptoLocker » /members: »*.aaa »

filescrn.exe filegroup modify /filegroup: »CryptoLocker » /members: »*.aaa|*.cryptotorlocker*|*.ecc|*.encrypted|*.exx|*.ezz|*.frtrss|*.vault|*restore_fi*.*|*want your files back.*|confirmation.key|cryptolocker.*|decrypt_instruct*.*|enc_files.txt|help_decrypt*.*|help_restore*.*|help_your_file*.*|how to decrypt*.*|how_to_decrypt*.*|how_to_recover*.*|howtodecrypt*.*|install_tor*.*|last_chance.txt|message.txt|readme_for_decrypt*.*|recovery_file.txt|recovery_key.txt|vault.hta|vault.key|vault.txt|*@gmail_com_*|*.*exx|*.*oshit|*.*nochance|*.*locked|*.*kraken|*.*kb15|*.*enc*|*.*darkness|*.*crypto|*.*AES256|*.*cry|*@india.com*|*cpyt*|*crypt*|*decipher*|*install_tor*.*|*keemail.me*|*qq_com*|*ukr.net*|*restore_fi*.*|*help_restore*.*|*how_to_recover*.*|*.exx|*@freespeechmail.org|*.*silasw9pa@yahoo.co.uk|*.*@mail2tor.com|*.*@scramble.io|*.locky » /Nonmembers: ».~lock.*.odt# »

Beaucoup de programmes font des fichiers lock quand ils ouvrent des documents, cela peux donc poser problème. Donc dans le filtre de fichier, rajouter les « /Nonmenbers » afin de ne pas avoir de problème (ex ici avec un fichier .odt)

++

Edit :
Vous pouvez aussi faire des restrictions logiciels à l’aide de GPO en bloquant les exe et autres zip dans les différents dossiers temp de windows (utilisateur/systeme). Pareil, avec parcimonie, certains programmes colle des exe ou autre dans ces dossiers et ne sont pas des menaces, à identifier et autoriser.

De Sebiiiii:
Comme Faco, je m’inscrit enfin, pour relater mon expérience pro.
Un client a eu locky il y a 2 semaines.
Il est arrivé sans doute par PJ, sur un poste qui avait été désinfecté 2 semaines auparavant (sans doute restait-il un rootkit quelque part, eset antivirus pro ne l’a pas détecté et l’antivirus a été désinstallé dans cet intervalle de 2 semaines)
Oui, il va vraiment chercher tous les partages réseau, donc si votre « sauvegarde » est juste une copie sur un partage réseau, ce n’est pas bon du tout.
Pour le cas de mon client, un des serveurs hébergeant un programme spécifique n’était pas sauvegardé (une base gestion commerciale mdb de 700 Mo, alors que toutes les autres sonnées, plus de 2.5To, étaient correctement sauvegardées.)
Pas le choix, pas le temps d’attendre un décrypteur autre, la rançon (4 bitcoin dans leur cas) a été payée, en retenant son souffle quand à « l’honnêteté » du ransompirate.
Ouf, le système est automatisé, ça se voit, et les données ont été décryptées par l’exécutable envoyé.

Bref, pas glop, mais pour le business l’important est d’avoir récupéré les données.

De Jobpilot:
Nous avons été infecté par locky.
Comme c’est une personne assez importante dans l’entreprise qui à ouvert le fichier word et cliquer sur activer les macros (y a des giffles qui se perdent) ça nous à chiffrer plein de fichiers sur tous les shares réseaux ou il avait accès.

Ils nous a fallut 40min pour nous rendre compte qu’il y avait un problème.
Ils nous à fallut 5min pour isoler la machine (il était propriétaire des fichiers chiffrés) + 1h pour tester si d’autres machines (120 pc) étaient contaminé (si il y a des fichiers en .locky sur le disque dur C c’est qu’elle est contaminé) heureusement il était le seul contaminé.

Nous utilisons rsnapshot qui nous fait un snapshot des partages réseaux (1.3to) toutes les heures, donc à bloqué les deux serveurs qui font tourné rsnapshot.
après j’ai fait un script qui à chercher sur les serveurs de fichiers les .locky et qui les efface et un autre qui à fait un rsync -au depuis le dernier snapshot non contaminé en direction des serveurs de fichiers.

Bien sur les sauvegardes ne sont accessible que en sftp ou rsync. Résultat on a perdu peut être dans certain cas 40min de travail, par contre il nous a fallut tous le reste de la journée pour que tout rentre dans l’ordre.

Pour éviter les fichiers office piégé j’ai bloquer sur l’antispam (clearos) les fichiers office avec macro et ça à l’air de bien jouer.

Vous pouvez suivre toute la discussion et les astuces des Korbenautes sur le fil de discussion

Pour aller un peu plus loin dans les virus qui foutent la panique

CryptoLocker – Si vous avez été infecté, voici comment déchiffrer vos fichiers

Dimanche dernier, je vous parlais de Synolocker, une variante du cheval de Troie Cryptolocker qui a la particularité de chiffrer les NAS Synology et d’inciter les victimes à payer pour récupérer leurs fichiers.
Pas cool.

Mais voici une excellente nouvelle…

lire la suite


Crucial SSD MX500

Démarrez votre ordinateur en quelques secondes

À chaque démarrage, vous sollicitez le disque de stockage de votre ordinateur. En plus de contenir tous vos fichiers les plus précieux, il charge et enregistre pratiquement tout ce que fait votre ordinateur. Vous aussi, faites partie des personnes qui conservent leurs vidéos de famille, leurs photos de voyage, leur musique et leurs documents importants sur un SSD, et bénéficiez de performances quasi-instantanées et de la fiabilité de ce support de stockage. Faites une mise à niveau avec le SSD Crucial® MX500, un lecteur sûr, rapide et de qualité accompagné d’un service clients et d’un support de qualité. Ça en vaut la peine.

Et avec le code KORBENFREE la livraison sera offerte (gain de 3.5€ allant à 5.99€ en fonction du mode livraison choisi)

Pour découvrir le SSD et accéder à la promo c'est ici



Réponses notables

  1. c’est un véritable carnage ce virus !!! la quasi totalité des clients ont été impactés d’une manière ou d’une autre.

  2. Malheureusement, en ce qui concerne Dridex, TeslaCrypt et Locky, aucun antivirus ne permet de détecter une pièce jointe malveillante ou encore l’exécutable téléchargé … Du moins, ils en sont incapables pendant la campagne de SPAM mais 3 jours après celle-ci les signatures sont prises en comptes. Mais 3 jours, c’est déjà trop tard, les dev’ de Locky ont déjà changé de version et le ransomware passe de nouveau à travers tous les antivirus !

    Il faut faire de la communication et de la formation au bonnes pratiques !

  3. Normalement, les éditeurs d’antivirus sont plus rapides que ça. En quelques heures la base de données des signatures est mise à jour.

  4. Faco says:

    Bonjour,

    juste inscrit, premier post.

    Je suis admin réseau est j’ai eu le cas hier, donc je vais préciser un peu ( avec mes connaissance actuelles).

    -Le message peux être en bon français (pas comme quand j’écris ^^), c’était le cas chez moi.
    -La pièce jointe peu être un .doc avec Macro, un .exe ou un .zip (pour ma part, c’était un zip).
    -Il s’attaque bien aux partages réseau (mes sauvegardes étaient de samedi, ouf ! )
    -Avec un serveur windows, vous pouvez bloquer son action avec des restrictions de fichier. je vous donne les extensions que je filtraient plus la petite nouvelle “*.locky” :

    filescrn.exe filegroup add /filegroup:"CryptoLocker" /members:"*.aaa"
    
    filescrn.exe filegroup modify /filegroup:"CryptoLocker" /members:"*.aaa|*.cryptotorlocker*|*.ecc|*.encrypted|*.exx|*.ezz|*.frtrss|*.vault|*restore_fi*.*|*want your files back.*|confirmation.key|cryptolocker.*|decrypt_instruct*.*|enc_files.txt|help_decrypt*.*|help_restore*.*|help_your_file*.*|how to decrypt*.*|how_to_decrypt*.*|how_to_recover*.*|howtodecrypt*.*|install_tor*.*|last_chance.txt|message.txt|readme_for_decrypt*.*|recovery_file.txt|recovery_key.txt|vault.hta|vault.key|vault.txt|*@gmail_com_*|*.*exx|*.*oshit|*.*nochance|*.*locked|*.*kraken|*.*kb15|*.*enc*|*.*darkness|*.*crypto|*.*AES256|*.*cry|*@india.com*|*cpyt*|*crypt*|*decipher*|*install_tor*.*|*keemail.me*|*qq_com*|*ukr.net*|*restore_fi*.*|*help_restore*.*|*how_to_recover*.*|*.exx|*@freespeechmail.org|*.*silasw9pa@yahoo.co.uk|*.*@mail2tor.com|*.*@scramble.io|*.locky" /Nonmembers:".~lock.*.odt#"
    

    Beaucoup de programmes font des fichiers lock quand ils ouvrent des documents, cela peux donc poser problème. Donc dans le filtre de fichier, rajouter les “/Nonmenbers” afin de ne pas avoir de problème (ex ici avec un fichier .odt)

    ++

    Edit :
    Vous pouvez aussi faire des restrictions logiciels à l’aide de GPO en bloquant les exe et autres zip dans les différents dossiers temp de windows (utilisateur/systeme). Pareil, avec parcimonie, certains programmes colle des exe ou autre dans ces dossiers et ne sont pas des menaces, à identifier et autoriser.

  5. En lisant cette ligne :
    "Locky chiffre aussi tout ce qui l’intéresse sur ces partages réseau."
    Je me suis soudain rendu compte que mes sauvegardes sur mon NAS n’étaient pas en sécurité… Faudra que j’en fasse une copie sur un disque dur externe.

  6. Comme Faco, je m’inscrit enfin, pour relater mon expérience pro.
    Un client a eu locky il y a 2 semaines.
    Il est arrivé sans doute par PJ, sur un poste qui avait été désinfecté 2 semaines auparavant (sans doute restait-il un rootkit quelque part, eset antivirus pro ne l’a pas détecté et l’antivirus a été désinstallé dans cet intervalle de 2 semaines)
    Oui, il va vraiment chercher tous les partages réseau, donc si votre “sauvegarde” est juste une copie sur un partage réseau, ce n’est pas bon du tout.
    Pour le cas de mon client, un des serveurs hébergeant un programme spécifique n’était pas sauvegardé (une base gestion commerciale mdb de 700 Mo, alors que toutes les autres sonnées, plus de 2.5To, étaient correctement sauvegardées.)
    Pas le choix, pas le temps d’attendre un décrypteur autre, la rançon (4 bitcoin dans leur cas) a été payée, en retenant son souffle quand à “l’honnêteté” du ransompirate.
    Ouf, le système est automatisé, ça se voit, et les données ont été décryptées par l’exécutable envoyé.

    Bref, pas glop, mais pour le business l’important est d’avoir récupéré les données.

  7. Nous avons été infecté par locky.
    Comme c’est une personne assez importante dans l’entreprise qui à ouvert le fichier word et cliquer sur activer les macros (y a des giffles qui se perdent) ça nous à chiffrer plein de fichiers sur tous les shares réseaux ou il avait accès.

    Ils nous a fallut 40min pour nous rendre compte qu’il y avait un problème.
    Ils nous à fallut 5min pour isoler la machine (il était propriétaire des fichiers chiffrés) + 1h pour tester si d’autres machines (120 pc) étaient contaminé (si il y a des fichiers en .locky sur le disque dur C c’est qu’elle est contaminé) heureusement il était le seul contaminé.

    Nous utilisons rsnapshot qui nous fait un snapshot des partages réseaux (1.3to) toutes les heures, donc à bloqué les deux serveurs qui font tourné rsnapshot.
    après j’ai fait un script qui à chercher sur les serveurs de fichiers les .locky et qui les efface et un autre qui à fait un rsync -au depuis le dernier snapshot non contaminé en direction des serveurs de fichiers.

    Bien sur les sauvegardes ne sont accessible que en sftp ou rsync. Résultat on a perdu peut être dans certain cas 40min de travail, par contre il nous a fallut tous le reste de la journée pour que tout rentre dans l’ordre.

    Pour éviter les fichiers office piégé j’ai bloquer sur l’antispam (clearos) les fichiers office avec macro et ça à l’air de bien jouer.

  8. Bon alors on dira, qui n’a pas connu quelqu’un dans son entourage perso ou pro qui s’est fait pourrir par un locky-like ces derniers jours ? :wink:

    Pareil pour moi, l’agence immobilière où je devais signer un compromis, juste ce jour là comme par hasard.

    Sinon pour reprendre le “Quant au nom de l’expéditeur, ce n’est jamais le même. Il doit s’agir du propriétaire d’une des machines détournées via le botnet pour l’envoi de ces spams.” ce genre de saloperie essaie de taper dans les carnets d’adresses locaux pour envoyer le mail aux autres membres du carnet ce qui est intelligent car cela fait souvent sauter une des sécurités précisée dans ce billet “ne JAMAIS ouvrir une pièce jointe envoyé par mail, et ayant … une provenance douteuse” car du coup la provenance n’est plus douteuse et le récepteur baisse sa garde.

    Ensuite le conseil “je vous recommande de vous équiper d’un vrai antivirus” oui bien sur sauf que comme d’hab il faut un temps de latence avant que la signature soit ajoutée, par exemple j’ai un cas où la vérole est arrivée le matin, et TrendMicro ne l’a détectée que dans la nuit et comme ce type de vérole est à action rapide, ben c’est mort s’il n’est pas déjà dans la base de signatures de l’anti-virus et sur SSD c’est encore plus rapide ;-(

    Du coup règle numéro 1 : éteindre le plus rapidement possible le PC infecté pour limiter les dégâts s’il est encore temps !

    Pour le conseil sur le fait d’effectuer des sauvegardes en effet mais il ne faut pas qu’elle soit faite sur un partage réseau accessible depuis le PC infecté et si cela doit se faire absolument via un simple partage réseau il vaut mieux inverser le partage à savoir que le logiciel de sauvegarde est installé sur une machine qui va chercher un partage dans chaque PC, partage uniquement accessible avec un compte utilisé par cette machine.

    La sauvegarde ne doit pas être une simple synchro/mirroir ça ne servira à rien, il faut bien sûr qu’elle soit avec rétention

    Autre chose aussi, pour ceux qui “choisiront” de payer, ne le faites pas avec une vraie CB si le paiement s’effectue directement par CB car parfois les mecs ponctionnent plusieurs fois de suite ! donc préférez si possible une CB virtuelle à usage unique.

    Autre conseil pour ceux qui possède une fonction Firewall personnel dans leur anti-virus (ou un firewall personnel tout court à la comodo firewall par exemple), il arrive souvent que le mail ne contienne qu’un simple “loader” qui va cherche le ransomware complet sur le Net et comme parfois cela utilise un ActiveX exécuté à partir d’un contenu Word ou Excel, interdisez leur la navigation ou tout du moins basculez-les en mode “demander confirmation pour toute tentative de connexion”.

  9. Il a l’air sympa ce truc …

    Il fait de la pub pour : Wikipedia
    Il fait de la pub pour : Tor
    Il fait de la pub pour : Bitcoins

    Notez au passage que seul Thor permettra de vous débarrasser de ce Loki ^^

    => Ok je sors !

  10. Bonjour,

    Je cherche un forum avec des spécialistes sur les GPO Windows …
    Si vous connaissez ?

    Merci

  11. Blanol : dans mon cas, non, complètement inefficace.

    Latour : oui, il attaque par le partage réseau. Pas seulement les lettres mappees, mais aussi tout ce qui est visible dans le “voisinage réseau” :wink:

  12. Merci de ta réponse Sebiii, je suis mode un peu parano, car en installant windows sur un nouveau pc il y a quelques jours, j’ai eu un ransomware aussi (il mettait tout mes fichiers en mp3 et crypté), je ne sais pas comment je l’ai eu, mais j’ai fais le c… car j’ai autorisé un truc windows (le virus en question), mais j’étais en pleinne installation de logiciel etc donc je n’ai pas fait attention, heureusement je n’ai rien perdu car c’était des transferts (l’autre pc n’a pas été infecté).

    Il n’y a aucun moyen de mieux s’en protéger (ainsi que son réseau ?) ? (j’ai acheté nod32 du coup car Avira (free) n’a rien vu !! )

  13. Bonsoir,

    au cas je vous met les recommandations du CERT ( Computer Emergency Response Team : Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) concernant cette menace (qui a eu droit à 3 mise a jour d’alerte consecutive) :

    lien vers le bulletin relatif à locky

  14. Merci lackham, c’est déjà une bonne indication.
    Latour, le nod32 le detecte actuellement. (en attendant d’autres formes)
    Faire des sauvegardes régulièrement, hors réseau visible (sur les syno on peut faire un partage non visible par exemple).
    Le lien de lakham donne aussi des conseils

  15. Bonjour,

    Une question quand vous dites " il chiffre tous les partages visibles" même les partages avec des droits NTFS ? vous me faites peur les gars ?!

    Merci.

  16. Pour les lecteurs réseaux, Symantec End Point Protection empêche d’aller sur les lecteurs via l’option “intrusion réseau”.
    Sinon crashplan est vraiment pratique pour ce genre de problème

  17. il se base sur les droits de l’utilisateur , si il a que de la lecture alors les fichiers ne sont pas cryptés puisqu’il n’a pas les droits

  18. Évitez les AV gratuits (la plupart sont des paniers percés)

    Je trouve ça assez réducteur de ta part Korben ! Autant beaucoup d’antivirus gratuits sont des paniers percés, autant des AV comme Panda et Avira sont très efficaces et détectent autant de menaces que Kaspersky ou autres payants.
    Il suffit de regarder les rapports :
    http://chart.av-comparatives.org/chart1.php

  19. SuperCool, j’espère que le niveau y est !
    Merci ^^

  20. c’est clair ! il ne me viendrait pas à l’esprit de cliquer sur un truc pareil ! c’est poubelle dès les première lettres lus …
    sinon,ouvrir dans une sandbox n’a pas été proposé ! pourquoi ?

  21. ioeo says:

    chez nous on a pu retrouver des fichiers avec shadow explorer

  22. fla says:

    Quelqu’un a des infos sur ce qu’il se passe quand on ouvre la pièce jointe avec LibreOffice et non pas Microsoft Office ? Et sur les versions de MS sur lequel le problème se produit ?

  23. Rien il dit que ce document contient des macros qui ont été désactiver.
    Dans le word il n’y a rien.
    Par contre si la personne va activer les macros la on ne peut plus rien

    Word demande si il faut activer les macros, c’est plus dangereux que libreoffice parce que si la personne
    ne lit pas le message et clique sur oui c’est la fin des carottes, tandis que libreoffice il faut aller dans des menus pour activer les macros

  24. Merci pour l’article, mais décidément je n’arrive pas à comprendre pourquoi le problème se situe entre le clavier et la chaise.
    A l’heure ou tout est scanné, où mon admin au boulot analyse le message que je suis en train d’écrire, où les DSI sont super tendus et coupent les accès aux mails perso en https, le problème n’est-il pas dans l’accessibilité de l’utilisateur à ce fichier vérolé ?

    L’article montre comment il est TRES simple de se rendre compte par un mail-scan que Locky est présent, et donc de s’en débarrasser avant qu’il ne fasse le moindre dégât.
    Je suis désolé mais la faille se situe chez le tech informatique, sur le serveur de mail (chez Windows aussi), mais pas chez l’utilisateur final.

    Je voudrais bien voir un cas aux prud’hommes d’un salarié qui serait licencié pour faute lourde (sans indemnité ni chômage) pour avoir fait diffusé Locky sur le réseau de sa boite.

  25. Un simple Windows Defender (pas à jour) me le détecte comme menace Sévère (Ransom:Win32/Locky.A)
    Donc est-tu sûre que ce soit le décrypteur et non le crypteur ?

    D’ailleurs si c’est le décrypteur, pourquoi ne décrypterait-il pas n’importe quelle utilisateur contaminé ?

    • Merci
  26. Bonjour,

    Une solution efficace en entreprise s’appelle AppSense … un ensemble d’outils formidables.
    En particulier, le module “Application Manager” permet de définir quelles applications un utilisateur a le droit d’éxécuter sur son poste de travail … Les ransomware ou autres spyware n’ont donc pas le droit de s’éxécuter et de s’installer.
    Bien sur, cela nécessite que les utilisateurs ne soient pas admin de leur poste de travail.

    Sans vouloir faire de publicité à cette société, cette solution semble etre la seule actuellement permettant de se prémunir des spyware de type cryptolocker qui gènèrent des gros dégats actuellement dans de nombreuses entreprises.

    cdt,
    MrPochpoch.

  27. Gomez says:

    Parce que les gens font souvent n’importe quoi. Mais effectivement parfois on n’y peut rien, comme pour la mise a jour de Transmission bidouillé sur leurs propres serveurs…

  28. Perso, j’ai bloqué les macros et active-x pour le pack Office via GPO.
    Il suffit de télécharger le fichier ADMX correspondant à son pack office et de copier le contenu du répertoire ADMX sur le contrôleur de domaine à cet endroit :
    C:\Windows\SYSVOL\sysvol\Votre Domain\Policies\PolicyDefinitions
    Après faut créer une GPO Utilisateur et dans Model d’administration vous verrez, Excel, Word, Office, ect…
    Sur chacun d’eux, il faut aller dans la rubrique Sécurité et bloqué macro VBA et notification.

    Par contre depuis hier, c’est sous la forme de .JS que ça essaie de se propager. Si quelqu’un à une idée pour bloqué les .JS sans que ça bloque les applies web en java, je suis preneur.

  29. Sympa la façon de traiter les personnes pour qui tu bosses, et qui, si ca se trouve, ne savent même pas que Locky existe.
    Mais effectivement la GPO c’est le minimum. La désinstallation d’Office et le remplacement par un autre produit équivalent moins passoire sera une étape ultérieure.

  30. Dans ma boite on y travaille sérieusement à la suppression définitive d’Office.

    Essaye juste de comprendre que ton mail d’alerte les “gentils utilisateurs lambda-bourrins” s’en tamponnent. D’autres ne l’auront même pas vu de retour de meeting ou de vacances. Pire il sera lu APRES avoir lancé Locky. Tu sais dans Outlook, on regarde ses mails par ordre d’arrivée, c’est comme ça que les vrais gens font. Le mail “Au loup” du service informatique, il passe par pertes et fracas après le boulot.

    C’est toi qui génère la faille. Pas l’utilisateur. Tu pourrais d’abord bloquer l’accès aux mails, tu scannes TOUS les mails du serveur, toutes les pièces jointes. Tu fais la GPO et ensuite tu croises les doigts. Bien sur aucun mail pro avec PJ ne doit être délivré à l’utilisateur avant de l’avoir vérité.
    Juste du bon sens,
    … que tu considéreras comme troll, pour te voiler la source du problème.

  31. malheureusement il ne s’agit pas d’un simple encodage mais d’un chiffrement symétrique, cela veut dire que les octets ne sont pas simplement transcodé via une table de correspondance du genre 00=34 01=26 02=8F 03=5C etc… mais sont modifiés de façon bien plus complexe via des calculs matriciels.

    Le chiffrement utilisé est généralement de type AES-256 qui s’il est “techniquement” possible d’en casser la clé de chiffrement cela ne peut pas aujourd’hui être fait dans des délais raisonnables car il faudrait largement plus d’une vie entière avec toute la puissance informatique de la planète :wink:

  32. C’est effectivement le décrypteur.

    Ok, mais dans ce cas pourquoi Windows Defender me le détecte comme (Ransom:Win32/Locky.A) menace Sévère

    Il intègre la clé de décryptage spécifique donc il n’est pas utilisable à volonté

    Et comment fait-il pour vous reconnaître de la masse des PC infecté ?
    Je suis curieux …

  33. Possible réponse : lorsque qu’il infecte une machine, il communique avec un serveur qui garde un liste d’identifiants uniques pour chaque machine infectée et la clé générée aléatoirement qui va avec. Du coup quand tu paies sur leur site, le serveur affiche la clé associée à cet identifiant.

  34. ok donc c’est bien ça il y a un ID unique pour chaque machine infectée et c’est cet ID qui servira au serveur ransomware de retrouver la bonne clé de chiffrement.

  35. Si ce décrypteur fonctionne en envoyant l’ID unique au serveur pour récupéré la clé de déchiffrement associé alors je ne vois pas pourquoi ce décrypteur ne serai pas générique et ne fonctionnerait pas pour tout le monde !

    Personnellement, je ne suis pas impacté … mais bon !

Continuer la discussion sur Korben Communauté

41 commentaires supplémentaires dans les réponses

Participants