Le ransomware Locky se diffuse via de fausses factures Free Mobile…

En matière de sécurité, soyons très prudents, Louis Adam de ZDNet, nous explique comment fonctionne Locky.. Attention aux pièces jointes, n’ouvrez que si vous êtes sûrs.

Le ransomware Locky inquiète le Cert-Fr. Le Cert a publié à la mi-février un premier avertissement concernant ce ransomware, ainsi baptisé du fait des extensions .locky qu’il accole aux fichiers chiffrés par ses soins. La première vague de diffusion de ce ransomware se faisait par une campagne de spam « dont le taux de blocage par les passerelles anti-pourriel est relativement faible » alertait alors le Cert-FR. Les mails malveillants renvoyaient l’utilisateur vers un document Word qui invitait à activer les macros une fois celui-ci ouvert. Si l’utilisateur accepte, le fichier télécharge Locky puis infecte la machine cible.

La première vague détectée à la mi-février avait pour objet « ATTN: Invoice J-<8 chiffres> » ce qui pouvait alerter les utilisateurs recevant ce type de message sur son caractère frauduleux. Mais le Cert-fr a publié une nouvelle alerte le 2 mars suite à un changement de stratégie de la part des opérateurs du malware.

Ceux-ci ont en effet revu leur stratégie pour viser des internautes français en dissimulant leur malware en pièce jointe d’un faux mail de facture de l’opérateur FreeMobile. La stratégie est sensiblement la même : le malware invite à télécharger une facture, contenue dans un fichier .zip qui contient un fichier JavaScript malveillant qui se chargera de télécharger Locky sur la machine cible.

We’re up all night to get locky

Locky est un ransomware classique dont le mode opératoire est de chiffrer les fichiers présents sur la machine puis d’exiger une rançon pour livrer à l’utilisateur une clef de déchiffrement lui permettant de récupérer ses données. La particularité du logiciel est sa capacité à s’attaquer à de nombreux types de fichiers, voire à chiffrer des fichiers accessibles à l’ordinateur sur d’autres machines, le rendant potentiellement destructeur pour un réseau d’entreprise. En cas d’infection, le Cert-fr conseille donc de considérer l’ensemble des machines connectées au réseau de la machine cible comme infectées.

Le Cert-fr détaille plusieurs mesures de protection et donne plusieurs marqueurs de compromissions à destination des administrateurs qui souhaiteraient se prémunir. Mais comme le remarque Kaspersky, plus de 60 variantes de Locky ont d’ores et déjà été détectées par ses outils, ce qui pousse les éditeurs de logiciels antivirus à développer chaque fois de nouvelles signatures pour protéger les utilisateurs. Locky a déjà fait parler de lui dans l’attaque qui avait récemment paralysé un hôpital américain et avait contraint ses dirigeants à verser la somme de 17.000 dollars pour rétablir l’accès au système.

Auteur Louis Adam pour ZDNet.fr

et aussi: Backdoors en pagaille : Cisco chasse les mots de passe codés en dur dans ses équipements

Nouveauté et sécurité pour les linuxiens avec
Subgraph OS: le système d’exploitation sécurisé sous Linux pour les utilisateurs novices

Les commentaires sont clos.