Le trojan crypto-rançonneur Locky se dévoile de plus en plus

Hier, le site Rue89 lui a consacré cet article, presque complet :

 

http://rue89.nouvelobs.com/2016/03/25/dix-choses-a-savoir-locky-nouvelle-plaie-ordis-263565

Dix trucs à savoir sur Locky, la nouvelle plaie de vos ordis

 

Il rend vos fichiers illisibles, et demande une rançon en échange de la clé qui permettra de revenir à la normale. Voici tout ce que vous devez savoir pour ne pas vous faire piéger.

Par Andréa Fradin Journaliste. Publié le 25/03/2016 à 11h06
89 877 visites 68 réactions   1

 

Son nom fait tout de suite songer au vilain dieu de la mythologie nordique. A raison. Locky est l’une des dernières plaies à circuler sur le réseau. Des hostos américains, une PME bisontine, l’Agence France-Presse, une hydrolienne au large d’Ouessant : les cibles sont nombreuses et la contamination évidente.

Le principe est simple : une fois ouvert sur votre ordinateur, ce programme bloque les principaux fichiers qui y sont stockés et réclame, en échange de la clé qui les rendra de nouveau lisibles, de l’argent.

Pour se prémunir de ce « ransomware » (ou « rançongiciel » en français bidouillé), voilà dix choses à garder en tête.

Lire la suite sur le site

 

Extraits :

 

6

On le retrouve partout dans le monde

 

Locky a fait de nombreuses victimes, un peu partout dans le monde, dont certaines se sont fait connaître du grand public.

Ici, le cas d’une petite entreprise dans L’Est Républicain :

« J’attendais des tarifs d’un grossiste italien. [...] J’ai reçu un mail avec un pdf, le corps du texte était écrit en anglais. Je suis habituellement vigilant mais là je me suis dit que c’était le document que j’attendais par mail. J’ai ouvert la pièce jointe… »

Là, l’exemple de l’AFP, dont on a déjà parlé. Là encore, celui d’une hydrolienne au large d’Ouessant.

Plus inquiétant, le cas d’un hôpital américain californien, qui a versé l’équivalent de 17 000 dollars aux rançonneurs. Il faut dire que son système informatique s’est vu paralysé pendant tout une semaine.

Au regard d’observations réalisées sur la clientèle de Trend Micro, Loïc Guezo confirme que le secteur médical constitue une cible de choix pour Locky. Y compris en France, globalement dans le viseur de la campagne de propagation actuelle. Le 22 mars, un hôpital de Boulogne-sur-Mer racontait sa mésaventure dans la presse locale.

Selon nos informations, le ministère de la Santé aurait reçu une centaine de signalements liés à des rançongiciels du type Locky depuis le début du mois de mars. Contacté, il n’a pour le moment pas réagi.

On a aussi repéré des cas en Allemagne et en Amérique latine.

7

On ignore l’identité de ceux qui se cachent derrière Locky

 

Maghreb, Russie, voire offensive « russo-cubaine ». Si beaucoup spéculent sur l’identité de ceux qui se cachent derrière Locky, il faut être très prudent – comme toujours en matière de sécurité informatique.

Nos interlocuteurs ajoutent que les personnes qui ont fait des victimes en France ne sont pas forcément les mêmes qui ont lancé des offensives ailleurs dans le monde. Ou que celles à l’origine de ce programmes : ce genre de logiciels peuvent être achetés, et les rançons ensuite réajustées, par les criminels qui en font l’acquisition.

Pour avoir une piste sur l’origine de Locky, les différents labo et boîtes de sécurité vont essayer de détecter des éléments repérés lors de précédentes vagues d’attaques.

8

Il est pénible pour les antivirus

 

En France, explique Stéphane Bortzmeyer, « il y a une semaine, Locky passait encore les antivirus. »

Représentant l’un vendeur de ce type d’outil, Loic Guezo rappelle que quand un nouveau produit apparaît, il faut du temps pour l’identifier.

« Ça pose toujours problème dans la phase récente de la contamination. »

L’autre souci, c’est que Locky est relativement imprévisible : quand il se connecte sur Internet pour donner à ses maîtres les clés qu’il a générées pour chiffrer les fichiers de ses cibles, il ne se rend jamais sur la même adresse.

« C’est une technique classique, reprend Stéphane Bortzmeyer, le “Domain generation algorithm” ou DGA. » Chaque jour, un ou plusieurs noms de domaine sont générés, comme autant de points de rendez-vous. Et autant de moyens de ne pas se faire gauler.

Commentaire de Loïc Guézo :

« C’est effectivement un problème pour les éditeurs. Mais il y a des moyens de le contourner, en identifiant des séquences, ou des adresses IP, pour voir si elles sont connues. »

 

 

Toutes ces précisions que la journaliste a pu obtenir correspondent bien à ce que j’avais déjà indiqué sur ce blog à propos de l’identité des attaquants, à l’évidence des voleurs de dossiers médicaux sentant très fort la cegette et sa Josette.

Leur complice le cyberdélinquant Pascal Edouard Cyprien Luraghi, qui réussit toujours à se trahir avec ses provocations publiques (mais il le fait exprès, adorant comme tout pervers se vanter de ses exploits), a d’ailleurs laissé sous cet article le commentaire suivant :

 

Publié le 25/03/2016 à 18h05
Le trojan crypto-rançonneur Locky se dévoile de plus en plus dans Corruption hilsenrath1

Itzig Finkelstein

génocidé
répond à caro

Le problème du travail, c’est que moins y en a, mieux je me porte mais c’est tout aussi vrai pour mon compte en banque ; -)

La prochaine vie, je ferais rentier, tiens…

 

Cinq jours plus tôt, il avait déjà écrit sur son blog public :

 

Coup de rouge

Par cyp | Publié : 20 mars 2016

 

Une des spécialités de mon atelier de dépannage informatique est la récupération de données sur supports amochés. Souvent les clients me confient des disques durs en compote avec les photos précieuses du petit dernier et de la belle-mère, la compta de leur boîte et compagnie. Évidemment, ils n’ont fait aucune copie de secours et ils pleurent beaucoup. C’est une tâche délicate qui demande du doigté et pas mal de savoir-faire et c’est toujours plaisant de voir les clients sourire en me signant leur chèque à la sortie…

 

 

Je rappelle ici les adresses IP et dates d’envoi de la saleté sur ma propre messagerie :

 

- le 1er mars 2016 à 9h39 :

IP-Adresse: 193.255.129.176
Provider: National Academic Network and Information Center
Organisation: Mersin University
Region: Mersin (TR)

 

 

 

Pays : Turquie

 

- le 7 mars 2016 à 11h12 :

IP-Adresse: 182.74.177.57
Provider: Bharti Broadband
Organisation: BHARTI Airtel

 

 

 

Pays : Inde

 

- le 9 mars 2016 à 14h30 :

IP-Adresse: 123.252.180.63
Provider: Tata Teleservices Maharashtra Ltd

 

 

Pays : Inde

Message envoyé d’un iPhone.

 

- le 12 mars 2016 à 9h34 :

IP-Adresse: 202.191.232.134
Provider: Sify Limited
Region: Gurgaon (IN)

 

 

 

Pays : Inde

 

- le 13 mars 2016 à 18h01 :

IP-Adresse: 46.19.226.1
Provider: Kujtesa Net Sh.p.k.

 

 

Pays : Albanie

 

 

L’on notera enfin que les locuteurs russes sont tous épargnés :

 

https://www.lexsi.com/securityhub/comment-creer-un-vaccin-contre-le-ransomware-locky/

Comment créer un vaccin contre le ransomware Locky

 

En 2009, nous avions appliqué la notion de vaccin à Conficker.C afin de protéger les postes contre ce ver se propageant très rapidement sur les parcs informatiques. Voyons si nous pouvons appliquer le même concept au ransomware Locky.

Dans la suite du billet, nous appellerons vaccin toute modification mineure du système ayant pour objet de bloquer, sans intervention utilisateur, tout ou partie des effets néfastes liés à l’exécution d’un programme malveillant. Evidemment, le vaccin doit être administré avant que la maladie n’arrive…

Par modification mineure, on entend par exemple la création d’un mutex ou d’une clé de registre spécifiques, ou bien une modification simple des paramètres n’entraînant pas de désagrément pour l’utilisateur. A titre de contre-exemple, au début de son exécution, Locky vérifie les paramètres de langue du système et n’infecte pas ceux configurés en langue Russe :locky_ru

On peut donc configurer le système en langue russe pour empêcher l’infection mais cela risque de se révéler assez peu pratique au quotidien :)

 

Lire la suite sur le site

 



Un « journaliste indépendant » identifié comme l’un des terroristes du 22 mars 2016

Ses activités particulières le rattachent à la bande du cyberdélinquant et grand maître terro Pascal Edouard Cyprien Luraghi.

En effet, celle-ci s’était constituée en 2008 autour d’un noyau dur de militants de la cause des sans-papiers ayant investi le site Rue89 entre 2007 et 2008 pour y prolonger leur lutte sur le terrain médiatique.

 

http://france3-regions.francetvinfo.fr/nord-pas-de-calais/attentats-de-bruxelles-l-homme-au-chapeau-identifie-960951.html

Attentats de Bruxelles : l’ »homme au chapeau » identifié ?

 

Selon le journal belge Le Soir, l’homme au chapeau filmé mardi à l’aéroport de Zaventem aux côtés des deux kamikazes qui se sont faits exploser a été identifié par le chauffeur de taxi qui avait transporté, sans le savoir, le commando terroriste. Il s’agirait de Fayçal Cheffou, interpellé jeudi.  

  • @f3nord
  • Publié le 26/03/2016 | 12:31, mis à jour le 26/03/2016 | 12:55
Selon Le Soir, l'homme au chapeau serait Fayçal Cheffou. © AFP / Police fédérale belge© AFP / Police fédérale belge Selon Le Soir, l’homme au chapeau serait Fayçal Cheffou.

Selon Le Soir, qui cite des sources policières, les enquêteurs belges ont pu enfin mettre un nom sur ce mystérieux homme au chapeau qui accompagnait mardi les deux kamikazes qui se sont faits exploser à l’aéroport de Zaventem et qui a lui même déposé un sac contenant des explosifs (qui n’ont finalement pas explosé) avant de s’enfuir.

Le suspect filmé par les caméras de vidéosurveillance de l'aéroport. © AFP / Police fédérale belge© AFP / Police fédérale belge Le suspect filmé par les caméras de vidéosurveillance de l’aéroport.

Le chauffeur de taxi qui avait transporté, sans le savoir, le commando terroriste depuis un appartement de la commune de Schaerbeek, a reconnu Fayçal Cheffou, l’un des suspects interpellés jeudi devant le parquet fédéral de Bruxelles. « Le taximan l’aurait identifié suite à un « tapissage », une confrontation visuelle, parmi les supects de l’attentat de Bruxelles« , écrit le quotidien belge. « L’examen du contenu des caméras de surveillance entre l’aéroport et la place Meiser (à Schaerbeek NDR) a permis d’établir sa fuite« .

Fayçal Cheffou dans une vidéo diffusée sur Youtube. © Capture d'écran Youtube© Capture d’écran Youtube Fayçal Cheffou dans une vidéo diffusée sur Youtube.

Fayçal Cheffou était déjà connus de services de police belges et soupçonné d’être un recruteur des filières djihadistes. Ce Bruxellois, qui se présentait comme « journaliste indépendant »,  avait notamment dénoncé dans des vidéos postées sur internet le fait que des personnes en séjour illégal, détenues dans un centre fermé, recevaient leur repas du soir avant la rupture du jeûne en période de ramadan. La police locale l’avait arrêté administrativement à plusieurs reprises au parc Maximilien, devant l’Office des étrangers alors qu’il tentait de rallier des demandeurs d’asile ou des sans-papiers à l’islam radical. Le bourgmestre de Bruxelles, Yvan Mayeur, l’avait dénoncé à plusieurs reprises au parquet.

Video diffusée sur internet par Fayçal Cheffou.



Le Club des Jeunes |
Collectif citoyen de Monfla... |
JCM Consultant |
Unblog.fr | Créer un blog | Annuaire | Signaler un abus | Hug Lo
| Reelnew
| coachingmeteo