Du 2 novembre 2014 au 31 mai 2016 : 55 messages de mon spammeur fou

Au mois de mai dernier, j’ai publié 51 « spams » personnalisés que j’avais reçus de mon spammeur fou entre le 2 novembre 2014 et le 13 mai 2016 sur une de mes adresses de messagerie en précisant que leur auteur et celui qui m’envoyait sur une autre adresse de messagerie des spams munis de la pièce jointe la plus dangereuse de l’année depuis le 1er mars 2016 étaient une seule et même personne.

Après le 15 mai 2016, jour où j’avais publié un bilan de toutes les adresses IP d’envoi de ces messages, j’ai encore reçu quatre de ses « spams » sur la même adresse de messagerie, les 17, 19, 24 et 31 mai 2016, dont un avec pièce jointe, celui du 24 mai 2016. Je les ai publiés au fur et à mesure que je les recevais, sauf le dernier avec un peu de retard, le 3 juin 2016.

Cette série étant apparemment terminée depuis le 1er juin 2016, j’en dresse ici le bilan des adresses IP d’envoi en espérant qu’il soit définitif.

Je procèderai ensuite de même pour tous les spams de la même série que j’ai reçus du même auteur durant la même période sur la seconde adresse de messagerie, comprenant donc ceux de ses campagnes de distribution du trojan crypto-rançonneur Locky.

 

Novembre 2014 : 6 messages

 

- le dimanche 2 novembre 2014 à 14h42 :

IP-Adresse: 109.127.86.87
Provider: Newroz Telecom Ltd.
Region: Arbil (IQ)

 

 

 

Pays : Irak

 

- le mercredi 5 novembre 2014 à 7h08 :

IP-Adresse: 37.28.186.237
Provider: OJSC MegaFon
Organisation: OJSC MegaFon GPRS Static Pool

 

 

 

Pays : Russie

 

- le jeudi 13 novembre 2014 à 16h11 :

IP-Adresse: 111.250.59.22
Provider: CHTD, Chunghwa Telecom Co., Ltd.
Region: Taipei (TW)

 

 

 

Pays : Taïwan

 

- le vendredi 14 novembre 2014 à 9h10 :

IP-Adresse: 114.226.186.105
Provider: China Telecom Jiangsu
Region: Nanjing (CN)

 

 

 

Pays : Chine

 

- le dimanche 23 novembre 2014 à 14h27 :

IP-Adresse: 95.58.154.85
Provider: JSC Kazakhtelecom
Organisation: JSC Kazakhtelecom, Pavlodar Affiliate
Region: Pavlodar (KZ)

 

 

 

 

Pays : Kazakhstan

 

- le vendredi 28 novembre 2014 à 1h37 :

IP-Adresse: 36.232.187.159
Provider: CHTD, Chunghwa Telecom Co., Ltd.

 

 

 

Pays : Taïwan

 

Décembre 2014 : 4 messages

 

- le vendredi 5 décembre 2014 à 7h51 :

IP-Adresse: 95.57.176.18
Provider: JSC Kazakhtelecom
Organisation: JSC Kazakhtelecom, Aktobe Affiliate
Region: Aktobe (KZ)

 

 

 

 

Pays : Kazakhstan

 

- le mercredi 10 décembre 2014 à 10h24 :

IP-Adresse: 31.170.242.35
Provider: Delta Telecom Inc.
Organisation: Azerbaijan Telecomunication ISP

 

 

 

Pays : Azerbaïdjan

 

- le dimanche 21 décembre 2014 à 10h03 :

IP-Adresse: 88.87.72.153
Provider: CJSC ER-Telecom Holding
Organisation: CJSC ER-Telecom Company
Region: Zarechenskiy (RU)

 

 

 

 

Pays : Russie

 

- le mercredi 31 décembre 2014 à 5h14 :

IP-Adresse: 46.229.106.43
Provider: CJSC Teleset-Service

 

 

 

Pays : Russie

 

Janvier 2015 : 6 messages

 

- le vendredi 2 janvier 2015 à 8h34 :

IP-Adresse: 117.123.127.219
Provider: Tbroad Ginam Broadcating Co., Ltd.
Organisation: hanvit ginam broadcasting comm.

 

 

 

Pays : Corée du Sud

 

- le mercredi 7 janvier 2015 à 23h37 :

IP-Adresse: 178.120.236.23
Provider: Republican Unitary Telecommunication Enterprise Be
Organisation: Republican Unitary Enterprise BELTELECOM
Region: Minsk (BY)

 

 

 

 

Pays : Biélorussie

 

- le jeudi 8 janvier 2015 à 14h11 :

IP-Adresse: 95.56.76.187
Provider: JSC Kazakhtelecom
Organisation: JSC Kazakhtelecom, Almaty Affiliate
Region: Almaty (KZ)

 

 

 

 

Pays : Kazakhstan

 

- le dimanche 18 janvier 2015 à 19h03 :

IP-Adresse: 46.174.64.19
Provider: FOP Molodnyak Ruslan Petrovich
Region: Kiev (UA)

 

 

 

Pays : Ukraine

 

- le vendredi 23 janvier 2015 à 5h47 :

IP-Adresse: 77.125.210.25
Provider: Golden Lines Cable
Region: Tel Aviv (IL)

 

 

 

Pays : Israël

 

- le vendredi 30 janvier 2015 à 1h18 :

IP-Adresse: 177.130.150.58
Provider: Rede Brasileira de Comunicacao Ltda
Region: Montes Claros (BR)

 

 

 

Pays : Brésil

 

Février 2015 : 1 message

 

- le samedi 21 février 2015 à 22h32 :

IP-Adresse: 125.93.189.186
Provider: China Telecom
Organisation: China Telecom Guangdong
Region: Dongguan (CN)

 

 

 

 

Pays : Chine

 

Mars 2015 : 0 message

 

Avril 2015 : 1 message

 

- le mercredi 15 avril 2015 à 7h44 :

IP-Adresse: 109.68.16.178
Provider: NTSI Telecom Ltd
Region: Moscow (RU)

 

 

 

Pays : Russie

 

Mai 2015 : 4 messages

 

- le samedi 2 mai 2015 à 10h02 :

IP-Adresse: 5.58.78.101
Provider: Lanet Network Ltd.

 

 

 

Pays : Ukraine

 

- le samedi 2 mai 2015 à 12h20 :

IP-Adresse: 46.147.176.40
Provider: CJSC ER-Telecom Holding
Region: Izhevsk (RU)

 

 

 

Pays : Russie

 

- le jeudi 21 mai 2015 à 0h00 :

IP-Adresse: 119.193.69.249
Provider: Korea Telecom

 

 

 

Pays : Corée du Sud

 

- le samedi 23 mai 2015 à 13h19 :

IP-Adresse: 182.226.159.53
Provider: Lg Powercomm
Region: Seoul (KR)

 

 

 

Pays : Corée du Sud

 

Juin 2015 : 4 messages

 

- le mercredi 10 juin 2015 à 1h38 :

IP-Adresse: 177.130.5.102
Provider: Altarede de Teresopolis Provedor de Internet Ltda
Region: Nova Friburgo (BR)

 

 

 

Pays : Brésil

 

- le mercredi 17 juin 2015 à 16h15 :

IP-Adresse: 175.157.236.77
Provider: Dialog Telekom Plc
Organisation: MESH GmbH

 

 

 

Pays : Sri Lanka

 

- le mercredi 24 juin 2015 à 16h05 :

IP-Adresse: 91.215.70.120
Provider: SPD Kurilov Sergiy Oleksandrovich
Region: Kurilov (UA)

 

 

 

Pays : Ukraine

 

- le lundi 29 juin 2015 à 9h12 :

IP-Adresse: 178.71.130.185
Provider: OJSC Rostelecom
Organisation: OJSC North-West Telecom
Region: Saint Petersburg (RU)

 

 

 

 

Pays : Russie

 

Juillet 2015 : 3 messages

 

- le dimanche 12 juillet 2015 à 3h03 :

Pas de géolocalisation possible :

Es wurde leider kein passender Ort gefunden.

 

- le jeudi 23 juillet 2015 à 9h42 :

IP-Adresse: 125.167.252.159
Provider: PT Telkom Indonesia
Region: Palangkaraya (ID)

 

 

 

Pays : Indonésie

 

- le mardi 28 juillet 2015 à 13h13 :

IP-Adresse: 195.175.201.166
Provider: Turk Telekom

 

 

Pays : Turquie

 

Août 2015 : 2 messages

 

- le samedi 15 août 2015 à 13h27 :

IP-Adresse: 113.160.181.2
Provider: VDC
Organisation: Vietnam Posts and Telecommunications(VNPT)
Region: Hanoi (VN)

 

 

 

 

Pays : Vietnam

 

- le dimanche 23 août 2015 à 20h08 :

IP-Adresse: 177.70.76.20
Provider: Sulcom Informática Ltda
Region: Ijuí (BR)

 

 

 

Pays : Brésil

 

Septembre 2015 : 3 messages

 

- le lundi 14 septembre 2015 à 5h37 :

IP-Adresse: 113.175.112.166
Provider: VDC
Region: Hanoi (VN)

 

 

 

Pays : Vietnam

 

- le lundi 21 septembre 2015 à 17h37 :

IP-Adresse: 116.101.120.102
Provider: Vietel Corporation
Organisation: Electric Telecommunication Company
Region: Hanoi (VN)

 

 

 

 

Pays : Vietnam

 

- le mardi 22 septembre 2015 à 0h44 :

IP-Adresse: 92.47.169.225
Provider: JSC Kazakhtelecom
Organisation: JSC Kazakhtelecom, Karaganda Affiliate
Region: Karaganda (KZ)

 

 

 

 

Pays : Kazakhstan

 

Octobre 2015 : 2 messages

 

- le samedi 17 octobre 2015 à 0h43 :

IP-Adresse: 116.107.225.173
Provider: Vietel Corporation
Organisation: Electric Telecommunication Company
Region: Hanoi (VN)

 

 

 

 

Pays : Vietnam

 

- le vendredi 30 octobre 2015 à 19h12 :

IP-Adresse: 93.76.28.25
Provider: Volia

 

 

 

Pays : Ukraine

 

Novembre 2015 : 3 messages

 

- le lundi 2 novembre 2015 à 7h06 :

IP-Adresse: 106.77.154.92
Provider: Idea Cellular

 

 

 

Pays : Inde

 

- le mercredi 18 novembre 2015 à 13h00 :

IP-Adresse: 59.88.172.217
Provider: BSNL

 

 

 

Pays : Inde

 

- le vendredi 19 novembre 2015 à 23h40 :

IP-Adresse: 24.199.108.44
Provider: EarthLink
Organisation: Time Warner Cable

 

 

 

Pays : Etats-Unis

 

Décembre 2015 : 6 messages

 

- le dimanche 6 décembre 2015 à 9h06 :

IP-Adresse: 46.150.66.47
Provider: Vivanet Ltd
Region: Melitopol (UA)

 

 

 

Pays : Ukraine

 

- le dimanche 6 décembre 2015 à 16h24 :

IP-Adresse: 117.0.71.193
Provider: Vietel Corporation
Region: Hanoi (VN)

 

 

 

Pays : Vietnam

 

- le lundi 7 décembre 2015 à 3h34 :

IP-Adresse: 46.245.30.145
Provider: Hamara System Tabriz Engineering Company
Region: Tabriz (IR)

 

 

 

Pays : Iran

 

- le dimanche 20 décembre 2015 à 15h04 :

IP-Adresse: 201.27.16.73
Provider: Vivo
Region: Osasco (BR)

 

 

 

Pays : Brésil

 

- le mardi 22 décembre 2015 à 13h46 :

IP-Adresse: 116.98.20.212
Provider: Vietel Corporation
Organisation: Electric Telecommunication Company
Region: Hanoi (VN)

 

 

 

 

Pays : Vietnam

 

- le mercredi 23 décembre 2015 à 2h29 :

IP-Adresse: 223.27.245.22
Provider: Bb Broadband Co., Ltd.
Organisation: BB-Broadband Co., Ltd. Transit
Region: Vibhavadi (TH)

 

 

 

 

Pays : Thaïlande

 

Janvier 2016 : 3 messages

 

- le samedi 2 janvier 2016 à 6h13 :

IP-Adresse: 113.189.204.69
Provider: VDC
Region: Hanoi (VN)

 

 

 

Pays : Vietnam

 

- le jeudi 7 janvier 2016 à 12h53 :

IP-Adresse: 36.83.44.215
Provider: PT. Telecomunikasi Indonesia
Organisation: PT Telkom Indonesia
Region: Jakarta (ID)

 

 

 

 

Pays : Indonésie

 

- le samedi 16 janvier 2016 à 7h55 :

IP-Adresse: 117.241.231.48
Provider: BSNL

 

 

Pays : Inde

 

Février 2016 : 1 message

 

- le samedi 27 février 2016 à 2h59 :

IP-Adresse: 171.235.52.178
Provider: Viettel Corporation
Organisation: Vietel Corporation
Region: Hanoi (VN)

 

 

 

 

Pays : Vietnam

 

Mars 2016 : 0 message

 

Avril 2016 : 0 message

 

Mai 2016 : 6 messages

 

- le dimanche 8 mai 2016 à 5h03 :

IP-Adresse: 58.186.55.43
Provider: FPT Telecom Company
Region: Ho Chi Minh City (VN)

 

 

 

Pays : Vietnam

 

- le vendredi 13 mai 2016 à 22h01 :

IP-Adresse: 109.254.23.116
Provider: Donbass Electronic Communications Ltd.
Region: Donetsk (UA)

 

 

 

Pays : Ukraine

 

- le mardi 17 mai 2016 à 20h26 :

IP-Adresse: 14.186.91.32
Provider: VDC
Region: Hanoi (VN)

 

 

 

Pays : Vietnam

 

- le jeudi 19 mai 2016 à 6h58 :

IP-Adresse: 118.69.27.94
Provider: FPT Telecom Company

 

 

Pays : Laos (compagnie vietnamienne)

 

- le mardi 24 mai 2016 à 6h40 :

IP-Adresse: 98.139.213.138
Provider: Yahoo!
Region: Sunnyvale (US)

 

 

 

Pays : Etats-Unis

 

- le mardi 31 mai 2016 à 1h39 :

IP-Adresse: 95.180.140.32
Provider: NEOTEL DOO export-import Skopje
Organisation: Altrasat Ohrid
Region: Ohrid (MK)

 

 

 

Pays : Macédoine

IP-Adresse: 197.211.53.20
Provider: Globacom Limited

 

 

Pays : Nigéria

 

Nombres de messages par mois et année :

 

Novembre 2014 : 6 messages

Décembre 2014 : 4 messages

Janvier 2015 : 6 messages

Février 2015 : 1 message

Mars 2015 : 0 message

Avril 2015 : 1 message

Mai 2015 : 4 messages

Juin 2015 : 4 messages

Juillet 2015 : 3 messages

Août 2015 : 2 messages

Septembre 2015 : 3 messages

Octobre 2015 : 2 messages

Novembre 2015 : 3 messages

Décembre 2015 : 6 messages

Janvier 2016 : 3 messages

Février 2016 : 1 message

Mars 2016 : 0 message

Avril 2016 : 0 message

Mai 2016 : 6 messages

 

2014 : 10 messages en 2 mois, soit 5 par mois

2015 : 35 messages en 12 mois, soit 3 par mois

2016 : 10 messages en 5 mois, soit 2 par mois.

 

Pays d’envoi :

 

Irak !

Russie !! !! !!

Taïwan !!

Chine !!

Kazakhstan !! !!

Azerbaïdjan !

Corée du Sud !! !

Biélorussie !

Ukraine !! !! !!

Israël !

Brésil !! !!

Sri Lanka !

Indonésie !!

Turquie !

Vietnam !! !! !! !! !!

Inde !! !

Etats-Unis !!

Iran !

Thaïlande !

Laos !

Macédoine !

Nigéria !

 

Le Vietnam arrive en tête avec 10 envois.

Viennent ensuite la Russie et l’Ukraine avec chacune 6 envois.

Puis le Kazakhstan et le Brésil avec chacun 4 envois.

La Corée du Sud et l’Inde avec chacune 3 envois.

Taïwan, la Chine, l’Indonésie et les Etats-Unis sont les pays de départ de chacun 2 envois.

Enfin, Irak, Azerbaïdjan, Biélorussie, Israël, Sri Lanka, Turquie, Iran, Thaïlande, Laos, Macédoine et Nigéria sont pays de départ de chacun 1 envoi.

 

Sur ce, je laisse le soin aux différents services intéressés de travailler sur les 55 adresses IP affichées en rappelant qu’un individu portant un nom vietnamien avait annoncé l’imminence des attentats des 7, 8 et 9 janvier 2015 sur Twitter dès le 1er janvier 2015. Il se disait de Belleville.

Mon spammeur doit quant à lui porter un nom comme Besancenot, Brenterch ou Luraghi.



Le crypto-rançonneur Locky mis à nu par les spécialistes

Comme je l’avais moi-même observé, les chercheurs ont relevé que l’Inde et le Vietnam sont de loin les principaux pays hébergeant des adresses IP à l’origine des campagnes de spams malveillantes organisées pour distribuer la pièce jointe vicieuse.

Par ailleurs, ces deux pays, surtout le premier, font eux-mêmes partie des premières victimes d’attaques de Locky, la France et l’Allemagne se trouvant en tête.

 

http://www.journaldunet.com/solutions/expert/64498/attention—les-campagnes-d-e-mails-malveillants-avec-des-pieces-jointes-javascript-explosent.shtml

Attention : les campagnes d’e-mails malveillants avec des pièces jointes JavaScript explosent

 

 

Alors que les menaces consistaient depuis des années en des documents Office contenant des macros malveillantes, l’utilisation directement dans les e-mail de codes .js plus discret s’accroît.

Ces derniers mois, les chercheurs de Proofpoint ont repéré une nouvelle tendance dans les campagnes d’e-mails malveillants : la présence de fichiers JavaScript en pièces jointes. Alors que les menaces consistaient depuis des années en des documents Microsoft Office contenant des macros malveillantes et que les utilisateurs comme la plupart des antivirus sont généralement conscients des dangers des fichiers .exe (exécutables) joints aux e-mails, l’utilisation directement dans les e-mail de code .js plus discret s’accroît.

Alors pourquoi .js ? Selon Bryan Burns, vice-président en charge des recherches sur les menaces chez Proofpoint :

« Les utilisateurs ont été sensibilisés à ne pas cliquer sur les pièces jointes .exe mais bon nombre d’entre eux risquent de ne pas savoir ce qu’est un fichier js ni même qu’il peut être tout aussi dangereux. Son icône ressemble à celle d’un document, d’où une certaine confusion. Dans d’autres cas, les pièces jointes voient l’extension de leur nom de fichier modifiée pour avoir l’air inoffensif, ce qui n’empêche pas Windows d’exécuter normalement le code JavaScript si l’utilisateur clique deux fois sur le fichier dans un e-mail. »

Le simple volume des messages est également un trait distinctif de ces campagnes. Le graphique ci-dessous illustre les volumes relatifs de pièces jointes .js par rapport à d’autres documents malveillants dans les campagnes récentes, montrant que celles-ci dépassent tous les autres types cumulés de pièces jointes d’un facteur 4 à 8 à leurs pics :

Le crypto-rançonneur Locky mis à nu par les spécialistes dans Crime 20487
Il s’agit en fait des campagnes de plus grande ampleur observées ces dernières années par les chercheurs de Proofpoint, faisant appel à des botnets massifs pour diffuser des volumes considérables d’e-mails malveillants. Si ces botnets sont de dimension mondiale, l’Inde et le Vietnam sont de loin les principaux pays hébergeant des adresses IP à l’origine de ces campagnes. La carte ci-dessous indique la répartition des messages par pays source.

20488 dans Folie
L’ampleur des campagnes donne à penser que leurs auteurs parient sur la naïveté des utilisateurs face à cette méthode rarement employée. Tandis que de nombreux e-mails malveillants comportent des fichiers joints .js sans modification, d’autres utilisent du code JavaScript masqué avec des extensions différentes ou sous forme de fichiers compressés pour en dissimuler davantage encore la nature aux destinataires.

Même si cette technique a été employée précédemment avec des variantes de ransomware telles que Teslacrypt et CryptoWall, ces campagnes implantent quasi exclusivement Locky et Dridex. Nous n’avons guère observé de ciblage sectoriel ou vertical mais, du fait que Dridex utilise des implants spécifiques à certains pays et établissements bancaires, nous avons noté un certain ciblage géographique aux Etats-Unis, au Royaume-Uni et en Europe de l’Ouest. Locky, pour sa part, lance beaucoup plus des attaques volumétriques peu ciblées.

En outre, les e-mails trompeurs propagés par ces campagnes ne diffèrent pas fondamentalement des autres campagnes reposant sur des pièces jointes standard Microsoft Office. L’objectif de leurs auteurs reste d’inciter les destinataires à cliquer sur les fichiers, même si le destinataire n’a pas à effectuer une action supplémentaire en activant les macros. Les fichiers JavaScript s’exécutent dès qu’ils sont ouverts, tentant d’installer directement un malware.

Ces campagnes sont inquiétantes pour deux raisons :1/ Leurs volumes massifs augmentent considérablement le risque que les messages aboutissent à des destinataires qui ne disposent pas d’une protection suffisante ou qui n’ont pas conscience du danger potentiel de ces pièces jointes.

2/ Les fichiers ne sont pas immédiatement identifiables comme malveillants (à la différence des fichiers .exe) et n’affichent pas de messages d’alerte liés aux macros.

Pour les entreprises comme pour les particuliers, cela signifie qu’il est plus important que jamais d’utiliser des solutions antimalware capables de détecter les menaces avancées. Dans le même temps, nous devons veiller à ce que les utilisateurs demeurent vigilants en observant les meilleures pratiques en matière d’e-mail et en étant conscients de la diversité croissante des pièces jointes susceptibles d’être malveillantes.

 

https://securelist.fr/blog/recherche/64863/locky-the-encryptor-taking-the-world-by-storm/

Locky, un ransomware international

 

– avril 6, 2016. 10:12

 

En février 2016, Internet a été secoué par une épidémie provoquée par le nouveau trojan ransomware Locky (Trojan-Ransom.Win32.Locky dans les verdicts de Kaspersky Lab). La propagation du malware est toujours active à ce jour. Les solutions de Kaspersky Lab ont détecté des tentatives d’infection chez des utilisateurs répartis dans 114 pays.

L’analyse de l’échantillon a démontré qu’il s’agissait d’un tout nouveau représentant d’une classe de ransomware créé à partir de zéro. Que représente Locky et comment s’en protéger ?

Propagation

Pour diffuser le trojan, les individus malintentionnés organisent des envois massifs de spams avec des downloaders malveillants en pièce jointe.

Au début, les spams malveillants contenaient un fichier doc en pièce jointe. Ce fichier renfermait une macro qui téléchargeait le trojan Locky depuis un serveur distant, puis qui l’exécutait.

Locky, un ransomware international

Message tiré des premières diffusions avec le document malveillant en pièce jointe

Locky, un ransomware international

Extrait du code de la macro

Les solutions de Kaspersky Lab détectent les fichiers avec les macros malveillantes sous les verdicts Trojan-Downloader.MSWord.Agent et HEUR:Trojan-Downloader.Script.Generic.

Signalons que pour des raisons de sécurité, l’exécution automatique des macros est désactivée dans les versions récentes de la suite MS Office. Toutefois, la pratique nous montre que bien souvent, les utilisateurs activent les macros manuellement, même dans des documents d’origine inconnue, ce qui provoque de fâcheuses conséquences.

La diffusion du spam malveillant se maintient. En revanche, la pièce jointe n’est plus un fichier doc, mais bien une archive zip qui contient un ou plusieurs scripts obfusqués en langage JavaScript. Les messages sont rédigés principalement en anglais, mais il existe des versions bilingues.

Locky, un ransomware international

Message en anglais avec une archive jointe

Locky, un ransomware international

Message en anglais et en allemand avec une archive jointe

La victime doit exécuter les scripts manuellement.

Locky, un ransomware international

Contenu de l’archive jointe au message

Locky, un ransomware international

Extrait d’un script de l’archive

Une fois exécuté, le script télécharge le trojan Locky depuis un serveur distant, puis l’exécute.

Kaspersky Lab classe ces téléchargeurs par script sous les verdicts Trojan-Downloader.JS.Agent et HEUR:Trojan-Downloader.Script.Generic.

Répartition géographique des attaques

D’après les données de KSN, des attaques de Locky ont été enregistrées dans 114 pays.

Top 10 des pays

Pays Nombre d’utilisateurs attaqués
France 469
Allemagne 340
Inde 267
Etats-Unis 224
République Sud-Africaine 182
Italie 171
Mexique 159
Brésil 156
Chine 126
Vietnam 107

Signalons que ces statistiques ne portent que sur les détections du trojan en lui-même. Elles ne tiennent pas compte des détections aux différentes étapes de l’attaque (spam malveillant et downloader).

map_1_fr

Répartition géographique Trojan-Ransom.Win32.Locky (nombre d’utilisateurs attaqués)

Cette carte illustre bien que pratiquement aucune région n’est épargnée par le trojan. Nous pouvons déduire la liste des pays pris pour cible en premier lieu par les individus malintentionnés en consultant la liste des langues sur la page du paiement de la rançon (voir ci-après).

Fonctionnement du trojan

Le trojan Locky est un fichier exécutable d’environ 100 Ko. Le malware a été programmé en C++ avec STL et il a été compilé dans MS Visual Studio. Une fois exécuté, il se copie dans %TEMP%\svchost.exe et supprime de sa copie le flux NTFS Zone.Identifier (pour éviter que Windows n’affiche, lors du lancement du fichier, un avertissement sur le fait que le fichier a été téléchargé depuis Internet et qu’il pourrait être dangereux). Ensuite, le trojan s’exécute depuis %TEMP%.

Une fois lancé, le trojan vérifie si les clés de la base de registre ci-dessous sont présentes et contrôle leur contenu.

Chemin Type Valeur
HKEY_CURRENT_USER\Software\Locky\id REG_SZ Identifiant de l’infection
HKEY_CURRENT_USER\Software\Locky\pubkey REG_BINARY Clé publique RSA au format MSBLOB
HKEY_CURRENT_USER\Software\Locky\paytext REG_BINARY Texte affiché pour la victime
HKEY_CURRENT_USER\Software\Locky\completed REG_DWORD Etat (chiffrement terminé ou non)

Si les clés de la base de registre contiennent déjà des données (ce qui sera le cas si le malware avait déjà été exécuté mais que son fonctionnement avait été interrompu), Locky les lit et poursuit l’infection.

S’il s’agit de la première exécution, le trojan réalise les opérations suivantes :

  1. Il contacte le serveur de commande et signale l’infection.
  2. Il obtient du serveur la clé publique RSA-2048 ainsi que l’identifiant d’infection et il les enregistre dans la base de registre.
  3. Il envoie au serveur les informations relatives à la langue du système d’exploitation infecté, obtient le texte avec les demandes des individus malintentionnés qui sera présenté à la victime et l’enregistre dans la base de registre.
  4. Il chiffre les fichiers portant certaines extensions sur les disques locaux.
  5. Il supprime les clichés instantanés (shadow copies) des fichiers.
  6. Il s’inscrit dans le démarrage automatique (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run).
  7. Il recherche les fichiers portant certaines extensions sur les disques réseau (y compris les ressources fichier réseau auxquelles aucune lettre de disque n’est associée) et les chiffre.
  8. Il affiche à la victime les demandes des individus malintentionnés.
  9. Il termine son processus et se supprime lui-même.

Locky, un ransomware international

Extrait du code pour l’obtention d’informations sur la langue du système

Chiffrement des fichiers

Le malware recherche les fichiers à chiffrer selon une liste définie d’extensions.

Locky, un ransomware international

Liste des extensions de fichiers à chiffrer

Pour chaque fichier qu’il trouve, Locky génère une nouvelle clé de 128 bits et chiffre le contenu du fichier à l’aide d’un algorithme AES-128 en mode CTR. Le fichier chiffré reçoit un nom au format <ID de 16 caractères hexadécimaux><16 caractères hexadécimaux aléatoires>.locky. La structure suivante se retrouve à la fin du fichier :

Locky, un ransomware international

Structure que Locky place à la fin du fichier chiffré

Dans la syntaxe du langage C, cette structure peut être décrite de la manière suivante :









1
2
3
4
5
6
7
8
9
struct file_data
{
uint32_t start_marker;          //Signature du début de la structure = 0x8956FE93
char id[16];                    //ID de l’infection
uint8_t aes_key[256];           //Clé AES, chiffrée selon RSA-2048
uint32_t name_marker;           //Signature AES chiffrée du début du nom (= 0xD41BA12A après déchiffrement)
uint8_t orig_name[520];         //Nom original du fichier chiffré selon AES
WIN32_FILE_ATTRIBUTE_DATA attr; //Attributs d’origine du fichiers chiffrés selon AES
};

Description de la structure ajoutée dans la syntaxe du langage C

Demandes des individus malintentionnés

Quand les fichiers ont été chiffrés, le malware présente à la victime les demandes des individus malintentionnés.

Locky, un ransomware international

Demandes des individus malintentionnés en anglais

Locky, un ransomware international

Demandes des individus malintentionnés en allemand

Le message contient l’adresse du « serveur secret » des individus malintentionnés où ils ont stocké les informations relatives à la rançon à payer pour obtenir le programme de déchiffrement. Les quatre liens du message mènent vers le même site dans le réseau Tor.

Lors de la première vague de diffusion de Locky, le design de la page de paiement ressemblait à ceci :

Locky, un ransomware international

Page de Locky reprenant les conditions de paiement pour le programme de déchiffrement (ancienne version)

Les individus malintentionnés proposaient sur cette page de payer le programme de déchiffrement des fichiers de la victime en bitcoins. Ils expliquaient où et comment obtenir cette cryptodevise.

Par la suite, le design et le contenu de la page ont changé. A l’heure actuelle, elle prend en charge plus de 200 langues (liste déroulante) et ressemble à ceci :

Locky, un ransomware international

Page de paiement de la rançon de Locky (version actuelle)

L’analyse du code source de cette page permet de voir la liste complète des langues prises en charge. Il est évident que les individus malintentionnés dirigent les attaques du trojan ransomware contre ces pays. Il est intéressant de constater que le russe et les langues des pays de la CEI ne figurent pas dans la liste. Pour une raison quelconque, les individus malintentionnés ne tentent pas d’attaquer les utilisateurs des pays correspondants, ce qui est confirmé par les statistiques de KSN.

Locky, un ransomware international

Liste des langues prises en charge par la page de paiement de la rançon de Locky

Communication avec le serveur de commande

Le code du trojan compte entre une et trois adresses IP du serveur de commande. Qui plus est, le malware intègre un algorithme de création d’adresses de serveur de commande (DGA, domaine generation algorithm) en fonction du jour, du mois et de l’année. Cet algorithme génère 6 adresses de serveur de commande par jour. La capture d’écran ci-dessous reprend le pseudocode qui illustre l’algorithme DGA de Locky.

Locky, un ransomware international

Pseudocode de l’algorithme de génération d’adresses du serveur de commande Locky

L’interaction avec le serveur de commande s’opère selon le protocole HTTP. Le trojan envoie une requête POST à une adresse du genre http://<cnc_url>/main.php, les données transmises sont chiffrées selon un algorithme symétrique simple.

Penchons-nous un instant sur les types de paramètres qui peuvent être transmis.

  1. Notification de l’infection et demande de la clé.
    id=<id de l’infection>
    &act=getkey&affid=<id du partenaire, contenue dans le corps du trojan>
    &lang=<langue du système>
    &corp=<version entreprise ou non du système d’exploitation>
    &serv=<version serveur ou non du système d’exploitation>
    &os=<version du système d’exploitation>
    &sp=<version du service pack du système d’exploitation>
    &x64=<version du système>A en croire le paramètre affid, Locky est diffusé dans le cadre d’un partenariat.
  2. Envoi de la liste des chemins chiffrés.
    id=<id de l’infection>
    &act=report&data=<liste des chemins>Pour chaque disque traité, le trojan envoie au serveur une liste de tous les chemins d’accès à tous les fichiers chiffrés.
  3. Envoi des statistiques sur chaque disque traité
    id=<id de l’infection>
    &act=stats&path=<chemin d’accès>
    &encrypted=<nombre de fichiers cryptés>
    &failed=<nombre d’erreurs>
    &length=<longueur totale des fichiers chiffrés>

Signalons que le malware collecte des statistiques très précises sur chaque infection. Les familles de ransomwares que nous avons analysées par le passé n’étaient pas aussi méticuleuses.

Résistance

Les solutions de Kaspersky Lab offrent une protection contre le trojan ransomware Locky à toutes les étapes de l’attaque :

  • Le module antispam détecte les fichiers envoyés par les propagateurs du trojan.
  • Les scripts de téléchargement sont détectés par les signatures statiques et heuristiques des antivirus courrier et fichiers sous les verdicts Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent, HEUR:Trojan-Downloader.Script.Generic.
  • Le fichier exécutable du trojan est détecté par les signatures de l’antivirus fichiers sous le verdict Trojan-Ransom.Win32.Locky.
  • Les versions inconnues de Locky sont détectées de façon proactive par le module  » System Watcher » sous le verdict PDM:Trojan.Win32.Generic.

Prévention des infections

Locky est un trojan ransomware traditionnel. Son organisation interne et son principe de fonctionnement n’affichent aucune différence majeure par rapport aux autres familles de ransomware. Ce qui attire l’attention des chercheurs, c’est la diffusion active et géographiquement étendue de ce malware. D’après les données de KSN, les solutions de Kaspersky Lab ont déjoué des attaques de Locky dans plus de 100 pays. Aucun autre trojan ransomware n’avait jamais attaqué autant de pays simultanément.

Afin de ne pas devenir la prochaine victime de Locky, vous devez prendre les mesures de prévention suivantes :

  • Ne pas ouvrir les pièces jointes de messages électroniques provenant d’expéditeurs inconnus.
  • Créer régulièrement des copies de sauvegarde des fichiers et les conserver sur des disques durs amovibles ou dans le cloud.
  • Maintenir les bases antivirus, le système d’exploitation et les applications installées à jour.
  • Dans le cadre de la gestion des dossiers partagés, créer un dossier réseau distinct pour chaque utilisateur.

Vous trouverez ici de plus amples informations sur les mesures de protection contre les trojans ransomwares.



Que s’est-il passé pour Cyprien Luraghi le 31 mai 2016 ?

Récapitulons.

Comme le montrent ses commentaires sur le site Rue89 rapportés dans l’un de mes articles du vendredi 3 juin 2016, ce jour-là comme tous les autres ou presque, il faisait sa propagande habituelle à mon sujet, puis a laissé ses petits camarades de jeu continuer sans lui après en avoir pris congé à 22h54 avec ce bref message laissant à penser qu’il avait brusquement un souci quelconque :

 

Publié le 31/05/2016 à 22h54

hilsenrath1

Itzig Finkelstein

génocidé
répond à Caporal_Pancho

J’ai à faire. À plus…

 

Il a repris la discussion le lendemain, mercredi 1er juin 2016, alors que toutes les infrastructures du trojan crypto-rançonneur Locky avaient brutalement et mystérieusement disparu.

Il écrivait alors :

 

Publié le 01/06/2016 à 16h00

hilsenrath1

Itzig Finkelstein

génocidé
répond à Lapin Garou

Il y aura un procès du genre de celui que vous évoquez, un jour, pour ces ordures et ceux qui ont vu et ont laissé faire. J’espère vivre assez vieux pour pouvoir y assister.

 

Qu’il cherche depuis plusieurs mois à recommencer toutes les opérations ayant conduit, comme voulu et recherché par ses complices « déconnologues » de la première heure et lui-même dès les mois de février 2009, aux diverses procédures et poursuites engagées par deux de ses complices contre mon ancien hébergeur de blog OverBlog et moi-même à compter de l’année 2011, lesquelles n’auront finalement pas connu tous les succès escomptés, ne fait strictement aucun doute.

Au mois de mai 2011, après avoir constitué une « cagnotte » qui d’après lui était suffisante pour lui permettre de vivre sans travailler jusqu’à la fin de ses jours, sa femme étant elle aussi sans emploi, et ses enfants tous deux étudiants, il avait décidé de fermer définitivement son atelier de dépannage informatique pour ne plus se consacrer qu’aux procès à venir ou à leur réussite selon ses voeux, et à ses deux activités favorites : la production de textes calomnieux et orduriers à l’égard de ses cibles habituelles, moi en particulier, et le piratage informatique.

Jouant notamment les « islammigrés » algériens sous le pseudonyme de SaMo_Dz, il s’était fait remarquer pour le piratage de sites de préfectures françaises à compter de l’été 2011.

Comme je l’ai montré à travers plusieurs publications y consacrées depuis le mois de mars, de nombreux indices m’incitent à penser qu’il fait partie des pirates qui cette année ont exploité le trojan crypto-rançonneur Locky.

Il a encore besoin d’argent pour se payer derechef un ou plusieurs bons avocats, mais surtout, pour acheter les bons décisionnaires afin de gagner à coup sûr tous ses procès, ceux qu’avec ses complices « déconnologues » et autres il a toujours l’intention d’intenter à mon encontre et contre tous mes soi-disant « complices », les procédures toujours en cours, notamment celles de Jean-Marc Donnadieu contre mon ancien hébergeur de blog OverBlog, le plaignant ayant encore fait appel du jugement de première instance l’ayant débouté de toutes ses demandes, le 26 mai 2014, et les procès que leurs victimes sont elles-mêmes tentées ou obligées de leur faire.

Or, en date du 31 mai 2016, comme je l’ai exposé dans un de mes articles du 5 juin 2016, il avait dû apprendre qu’une lettre recommandée avec accusé de réception venait de m’être expédiée par les services du Procureur Général près la Cour d’Appel de Rennes.

Le même jour, j’avais reçu de mon spammeur fou, dans l’ordre :

1/ à 1h39, un message en provenance du Nigéria relatif à un « prêt » proposé par « Emirate Finance »;

2/ à 7h46, un message en provenance d’Israël relatif à une « convocation » pour le retrait d’une assurance-vie datée de 2001 souscrite par un de mes parents;

3/ à 13h48, le « nouveau message de [mon] banquier » avec pièce jointe vicieuse (Locky) en provenance de l’Inde que j’avais aussitôt publié, avec adresse IP d’envoi.

Cette publication a pu être suivie d’un effet quelconque en Inde où Locky s’était fait remarquer quelques jours plus tôt :

 

http://www.deccanchronicle.com/technology/in-other-news/250516/locky-ransom-virus-hits-maharashtra-mantralaya-s-computers.html

Locky Ransom virus hits Maharashtra Mantralaya computers

 

DECCAN CHRONICLE. | SHRUTI GANPATYE

Published May 25, 2016, 2:47 am IST
Updated May 25, 2016, 4:01 am IST

 

The Locky virus, when it enters computer locks the entire system and sends message to the user to pay some amount which is in bitcoin.

 

Locky Ransom virus is used worldwide to harass big institutions for ransom (Representational Image)

 Locky Ransom virus is used worldwide to harass big institutions for ransom (Representational Image)

 

MUMBAI: Locky Ransom virus, which has created havoc in the world, has locked 150 computers in Revenue and Public Works Department of Mantralaya in Maharashtra. Though the state has averted major disaster of infection to other systems, the government had to literally struggle to stop damaging the files further.

The Information Technology department, with the help of experts, has managed to control the virus but the threat still persists, as the Mantralaya computers are not completely foolproof against the virus. The IT department has at present locked the private mailing sites like gmail, yahoo, rediff to avoid external mailing through which the virus can hit the system again.

“We are allowing only the official government mails so that the other computers remain safe. Also, we have upgraded the systems with three types of anti-virus softwares. Unfortunately, the Locky virus comes with an extension that has military encryption, which no one has been able to de-code so far in the world,” Principal Secretary of IT department Vijaykumar Gautam told this newspaper.

The Locky virus when enters the computer locks the entire system and sends message to the user to pay some amount which is in bitcoin. It is used worldwide to harass big institutions for ransom hence the name Locky Ransom. The virus entered the system around May 11 or 12 but was detected last Friday only.

 

http://indianexpress.com/article/cities/mumbai/maharashtra-mantralayas-150-computers-attacked-by-locky-virus-2819393/

150 computers at Maharashtra Mantralaya attacked by Locky virus

 

The 150 computers will be subjected to forensic tests.

 

By: Express News Service | Mumbai | Updated: May 26, 2016 6:53 pm

 
maharashtra computers hacked, maharashtra govt, maharashtra govt computers hacked, locky virus, locky virus maharashtra, maharashtra news, india news

The government has now directed its employees to only use their official ID and not use private e-mail IDs such as Gmail or Yahoo.

 

At least 150 computers of Mantralaya, headquarters of the Maharashtra government, were attacked by a malicious software known as Locky ransomware, which blocks access to computers. Officials said the attack targeted files from the revenue and public works departments but the damage was contained before it could spread. The government building uses over 5,300 computers. The government has now directed its employees to only use their official ID and not use private e-mail IDs such as Gmail or Yahoo. It has also decided to provide an advisory to employees to exercise caution while using pendrives and CDs procured without authenticating sources.

According to Principal Secretary, Information Technology, Vijay Kumar Gautam, “Whether it is the Government of India or Maharashtra government, there is a rule to operate on official ID. Why should the employees use private ID, while conducting the government work?”

Maintaining that all central data of the entire government across departments was safe, he said, “The quick action taken by the IT department to detect the problems helped to save other systems from the virus attack.” However, the 150 computers will be subjected to forensic tests.

Gautam believes, “The Locky attack could be a case of mistaken identity. What could the hackers get from the state government?”



Le Club des Jeunes |
Collectif citoyen de Monfla... |
JCM Consultant |
Unblog.fr | Annuaire | Signaler un abus | Hug Lo
| Reelnew
| coachingmeteo