Le ransomware Locky est de retour !

Ransomwares

Le ransomware Locky a largement fait parler de lui dernièrement, même si d’autres tels que Cerber et Spora ont aussi occupé le devant de la scène. Mais ces dernières semaines, Locky est de retour !

ransomware locky

Le ransomware Locky a clairement été l’un des ransomwares les plus importants ces derniers temps. Peu à peu, il a cédé la place, remplacé par des ransomwares tels que Cerber et Spora. Mais ces dernières semaines, le ransomware Locky est revenu !

Début août, le ransomware Locky nous a présenté sa nouvelle extension : .diablo6. Cette semaine, des experts ont découvert de nouvelles variantes, qui utilisent maintenant l’extension .lukitus. L’expert SophosLabs, Dorka Palotay, a déclaré que les nouvelles variantes avaient le comportement habituel de Locky :

Il se diffuse par le biais d’un email indésirable et est accompagné d’une pièce jointe .zip avec un fichier .js à l’intérieur (par exemple, 20170816436073213.js). Il télécharge ensuite son payload, qui chiffrera tous vos fichiers.  

Caractéristiques de l’email et payloads

La variante .lukitus est diffusée avec une thématique au niveau de l’objet de l’email telle que « PAIEMENT » avec le corps de message suivant :

ransomware locky

La variante Diablo a utilisé un corps de message de type « Fichiers joints. Merci » et l’adresse e-mail de l’expéditeur avait le même domaine que celui du destinataire. Les e-mails étaient accompagnés d’une pièce jointe .zip « E 2017-08-09 (957).zip », qui contenait un downloader VBScript appelé « E 2017-08-09 (972).vbs ». Le script télécharge ensuite le payload Locky à partir d’une adresse se terminant par /y872ff2f.

La version .lukitus se connecte à son serveur command-and-control via les adresses suivantes :

  • hxxp://185[.]80[.]148[.]137/imageload.cgi
  • hxxp://91[.]228[.]239[.]216/imageload.cgi
  • hxxp://31[.]202[.]128[.]249/imageload.cgi

La version diablo6 se connecte à son serveur command-and-control via les adresses suivantes :

  • 83.217.8.61/checkupdate
  • 31.202.130.9/checkupdate
  • 91.234.35.106/checkupdate

Les mesures défensives concernant les pièces jointes malveillantes

Sophos protège ses clients vis-à-vis des dernières campagnes du ransomware Locky. Mais il est tout de même bon de garder à l’esprit les conseils suivants :

  • Si vous recevez une pièce jointe par email, quelle qu’elle soit, et que vous ne connaissez pas la personne qui vous l’a envoyée, NE L’OUVREZ PAS !
  • Configurez Windows pour qu’il affiche les extensions des fichiers. Cela vous permettra de repérer les fichiers trompeurs.
  • Utilisez un antivirus avec un scanner on-access (également connu sous le nom de protection en temps réel). Cela peut vous aider à bloquer les malwares de ce type grâce à une défense multi-couches, par exemple en arrêtant en amont un fichier PDF ou HTA piégé.
  • Pensez à paramétrer de manière stricte la passerelle de messagerie. Certains employés sont plus exposés que d’autres, vis-à-vis de l’envoie de malwares (comme le département de traitement des commandes), et doivent donc bénéficier d’une protection renforcée, afin d’éviter tout incident.

Les mesures défensives concernant les ransomwares

La meilleure défense contre les ransomwares est tout simplement d’éviter l’infection en amont ! Ainsi, nous avons publié un guide intitulé : Ransomware, comment s’en protéger, qui vous sera sans aucun doute d’une grande utilité :ransomware locky

 

Vous pouvez également écouter notre podcast Techknow Dealing with Ransomware :


Billet inspiré de It’s baaaack: Locky ransomware is on the rise again, sur Sophos nakedsecurity.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s