Le trojan crypto-rançonneur Locky se dévoile de plus en plus 26 mars
Hier, le site Rue89 lui a consacré cet article, presque complet :
http://rue89.nouvelobs.com/2016/03/25/dix-choses-a-savoir-locky-nouvelle-plaie-ordis-263565
Dix trucs à savoir sur Locky, la nouvelle plaie de vos ordis
Il rend vos fichiers illisibles, et demande une rançon en échange de la clé qui permettra de revenir à la normale. Voici tout ce que vous devez savoir pour ne pas vous faire piéger.
Son nom fait tout de suite songer au vilain dieu de la mythologie nordique. A raison. Locky est l’une des dernières plaies à circuler sur le réseau. Des hostos américains, une PME bisontine, l’Agence France-Presse, une hydrolienne au large d’Ouessant : les cibles sont nombreuses et la contamination évidente.
Le principe est simple : une fois ouvert sur votre ordinateur, ce programme bloque les principaux fichiers qui y sont stockés et réclame, en échange de la clé qui les rendra de nouveau lisibles, de l’argent.
Pour se prémunir de ce « ransomware » (ou « rançongiciel » en français bidouillé), voilà dix choses à garder en tête.
Extraits :
On le retrouve partout dans le monde
Locky a fait de nombreuses victimes, un peu partout dans le monde, dont certaines se sont fait connaître du grand public.
Ici, le cas d’une petite entreprise dans L’Est Républicain :
« J’attendais des tarifs d’un grossiste italien. [...] J’ai reçu un mail avec un pdf, le corps du texte était écrit en anglais. Je suis habituellement vigilant mais là je me suis dit que c’était le document que j’attendais par mail. J’ai ouvert la pièce jointe… »
Là, l’exemple de l’AFP, dont on a déjà parlé. Là encore, celui d’une hydrolienne au large d’Ouessant.
Plus inquiétant, le cas d’un hôpital américain californien, qui a versé l’équivalent de 17 000 dollars aux rançonneurs. Il faut dire que son système informatique s’est vu paralysé pendant tout une semaine.
Au regard d’observations réalisées sur la clientèle de Trend Micro, Loïc Guezo confirme que le secteur médical constitue une cible de choix pour Locky. Y compris en France, globalement dans le viseur de la campagne de propagation actuelle. Le 22 mars, un hôpital de Boulogne-sur-Mer racontait sa mésaventure dans la presse locale.
Selon nos informations, le ministère de la Santé aurait reçu une centaine de signalements liés à des rançongiciels du type Locky depuis le début du mois de mars. Contacté, il n’a pour le moment pas réagi.
On a aussi repéré des cas en Allemagne et en Amérique latine.
On ignore l’identité de ceux qui se cachent derrière Locky
Maghreb, Russie, voire offensive « russo-cubaine ». Si beaucoup spéculent sur l’identité de ceux qui se cachent derrière Locky, il faut être très prudent – comme toujours en matière de sécurité informatique.
Nos interlocuteurs ajoutent que les personnes qui ont fait des victimes en France ne sont pas forcément les mêmes qui ont lancé des offensives ailleurs dans le monde. Ou que celles à l’origine de ce programmes : ce genre de logiciels peuvent être achetés, et les rançons ensuite réajustées, par les criminels qui en font l’acquisition.
Pour avoir une piste sur l’origine de Locky, les différents labo et boîtes de sécurité vont essayer de détecter des éléments repérés lors de précédentes vagues d’attaques.
Il est pénible pour les antivirus
En France, explique Stéphane Bortzmeyer, « il y a une semaine, Locky passait encore les antivirus. »
Représentant l’un vendeur de ce type d’outil, Loic Guezo rappelle que quand un nouveau produit apparaît, il faut du temps pour l’identifier.
« Ça pose toujours problème dans la phase récente de la contamination. »
L’autre souci, c’est que Locky est relativement imprévisible : quand il se connecte sur Internet pour donner à ses maîtres les clés qu’il a générées pour chiffrer les fichiers de ses cibles, il ne se rend jamais sur la même adresse.
« C’est une technique classique, reprend Stéphane Bortzmeyer, le “Domain generation algorithm” ou DGA. » Chaque jour, un ou plusieurs noms de domaine sont générés, comme autant de points de rendez-vous. Et autant de moyens de ne pas se faire gauler.
Commentaire de Loïc Guézo :
« C’est effectivement un problème pour les éditeurs. Mais il y a des moyens de le contourner, en identifiant des séquences, ou des adresses IP, pour voir si elles sont connues. »
Toutes ces précisions que la journaliste a pu obtenir correspondent bien à ce que j’avais déjà indiqué sur ce blog à propos de l’identité des attaquants, à l’évidence des voleurs de dossiers médicaux sentant très fort la cegette et sa Josette.
Leur complice le cyberdélinquant Pascal Edouard Cyprien Luraghi, qui réussit toujours à se trahir avec ses provocations publiques (mais il le fait exprès, adorant comme tout pervers se vanter de ses exploits), a d’ailleurs laissé sous cet article le commentaire suivant :
Le problème du travail, c’est que moins y en a, mieux je me porte mais c’est tout aussi vrai pour mon compte en banque ; -)
La prochaine vie, je ferais rentier, tiens…
Cinq jours plus tôt, il avait déjà écrit sur son blog public :
Coup de rouge
Par cyp | Publié : 20 mars 2016
Une des spécialités de mon atelier de dépannage informatique est la récupération de données sur supports amochés. Souvent les clients me confient des disques durs en compote avec les photos précieuses du petit dernier et de la belle-mère, la compta de leur boîte et compagnie. Évidemment, ils n’ont fait aucune copie de secours et ils pleurent beaucoup. C’est une tâche délicate qui demande du doigté et pas mal de savoir-faire et c’est toujours plaisant de voir les clients sourire en me signant leur chèque à la sortie…
Je rappelle ici les adresses IP et dates d’envoi de la saleté sur ma propre messagerie :
- le 1er mars 2016 à 9h39 :
IP-Adresse: | 193.255.129.176 | |
Provider: | National Academic Network and Information Center | |
Organisation: | Mersin University | |
Region: | Mersin (TR) |
Pays : Turquie
- le 7 mars 2016 à 11h12 :
IP-Adresse: | 182.74.177.57 | |
Provider: | Bharti Broadband | |
Organisation: | BHARTI Airtel |
Pays : Inde
- le 9 mars 2016 à 14h30 :
IP-Adresse: | 123.252.180.63 | |
Provider: | Tata Teleservices Maharashtra Ltd |
Pays : Inde
Message envoyé d’un iPhone.
- le 12 mars 2016 à 9h34 :
IP-Adresse: | 202.191.232.134 | |
Provider: | Sify Limited | |
Region: | Gurgaon (IN) |
Pays : Inde
- le 13 mars 2016 à 18h01 :
IP-Adresse: | 46.19.226.1 | |
Provider: | Kujtesa Net Sh.p.k. |
Pays : Albanie
L’on notera enfin que les locuteurs russes sont tous épargnés :
https://www.lexsi.com/securityhub/comment-creer-un-vaccin-contre-le-ransomware-locky/
Comment créer un vaccin contre le ransomware Locky
- Crypto, Malware, Reverse
- 22/03/16
- Sylvain Sarméjeanne
En 2009, nous avions appliqué la notion de vaccin à Conficker.C afin de protéger les postes contre ce ver se propageant très rapidement sur les parcs informatiques. Voyons si nous pouvons appliquer le même concept au ransomware Locky.
Dans la suite du billet, nous appellerons vaccin toute modification mineure du système ayant pour objet de bloquer, sans intervention utilisateur, tout ou partie des effets néfastes liés à l’exécution d’un programme malveillant. Evidemment, le vaccin doit être administré avant que la maladie n’arrive…
Par modification mineure, on entend par exemple la création d’un mutex ou d’une clé de registre spécifiques, ou bien une modification simple des paramètres n’entraînant pas de désagrément pour l’utilisateur. A titre de contre-exemple, au début de son exécution, Locky vérifie les paramètres de langue du système et n’infecte pas ceux configurés en langue Russe :
On peut donc configurer le système en langue russe pour empêcher l’infection mais cela risque de se révéler assez peu pratique au quotidien