Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Locky - Tout ce qu'il y a à savoir sur le malware du moment


#1

http://korben.info/locky-quil-y-a-a-savoir-malware-moment.html
Vous êtes quelques-uns à m’avoir demandé d’écrire un article sur le nouveau malware qui fait rage en ce moment : Locky. Et bien voilà. Qu’est-ce que Locky ? Locky est ce qu’on appelle un ransomware, c’est-à-dire un malware qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer…


#2

c’est un véritable carnage ce virus !!! la quasi totalité des clients ont été impactés d’une manière ou d’une autre.


#3

Malheureusement, en ce qui concerne Dridex, TeslaCrypt et Locky, aucun antivirus ne permet de détecter une pièce jointe malveillante ou encore l’exécutable téléchargé … Du moins, ils en sont incapables pendant la campagne de SPAM mais 3 jours après celle-ci les signatures sont prises en comptes. Mais 3 jours, c’est déjà trop tard, les dev’ de Locky ont déjà changé de version et le ransomware passe de nouveau à travers tous les antivirus !

Il faut faire de la communication et de la formation au bonnes pratiques !


#4

Normalement, les éditeurs d’antivirus sont plus rapides que ça. En quelques heures la base de données des signatures est mise à jour.


#5

Bonjour,

juste inscrit, premier post.

Je suis admin réseau est j’ai eu le cas hier, donc je vais préciser un peu ( avec mes connaissance actuelles).

-Le message peux être en bon français (pas comme quand j’écris ^^), c’était le cas chez moi.
-La pièce jointe peu être un .doc avec Macro, un .exe ou un .zip (pour ma part, c’était un zip).
-Il s’attaque bien aux partages réseau (mes sauvegardes étaient de samedi, ouf ! )
-Avec un serveur windows, vous pouvez bloquer son action avec des restrictions de fichier. je vous donne les extensions que je filtraient plus la petite nouvelle “*.locky” :

filescrn.exe filegroup add /filegroup:"CryptoLocker" /members:"*.aaa"

filescrn.exe filegroup modify /filegroup:"CryptoLocker" /members:"*.aaa|*.cryptotorlocker*|*.ecc|*.encrypted|*.exx|*.ezz|*.frtrss|*.vault|*restore_fi*.*|*want your files back.*|confirmation.key|cryptolocker.*|decrypt_instruct*.*|enc_files.txt|help_decrypt*.*|help_restore*.*|help_your_file*.*|how to decrypt*.*|how_to_decrypt*.*|how_to_recover*.*|howtodecrypt*.*|install_tor*.*|last_chance.txt|message.txt|readme_for_decrypt*.*|recovery_file.txt|recovery_key.txt|vault.hta|vault.key|vault.txt|*@gmail_com_*|*.*exx|*.*oshit|*.*nochance|*.*locked|*.*kraken|*.*kb15|*.*enc*|*.*darkness|*.*crypto|*.*AES256|*.*cry|*@india.com*|*cpyt*|*crypt*|*decipher*|*install_tor*.*|*keemail.me*|*qq_com*|*ukr.net*|*restore_fi*.*|*help_restore*.*|*how_to_recover*.*|*.exx|*@freespeechmail.org|*.*silasw9pa@yahoo.co.uk|*.*@mail2tor.com|*.*@scramble.io|*.locky" /Nonmembers:".~lock.*.odt#"

Beaucoup de programmes font des fichiers lock quand ils ouvrent des documents, cela peux donc poser problème. Donc dans le filtre de fichier, rajouter les “/Nonmenbers” afin de ne pas avoir de problème (ex ici avec un fichier .odt)

++

Edit :
Vous pouvez aussi faire des restrictions logiciels à l’aide de GPO en bloquant les exe et autres zip dans les différents dossiers temp de windows (utilisateur/systeme). Pareil, avec parcimonie, certains programmes colle des exe ou autre dans ces dossiers et ne sont pas des menaces, à identifier et autoriser.


#6

En lisant cette ligne :
"Locky chiffre aussi tout ce qui l’intéresse sur ces partages réseau."
Je me suis soudain rendu compte que mes sauvegardes sur mon NAS n’étaient pas en sécurité… Faudra que j’en fasse une copie sur un disque dur externe.


#7

Comme Faco, je m’inscrit enfin, pour relater mon expérience pro.
Un client a eu locky il y a 2 semaines.
Il est arrivé sans doute par PJ, sur un poste qui avait été désinfecté 2 semaines auparavant (sans doute restait-il un rootkit quelque part, eset antivirus pro ne l’a pas détecté et l’antivirus a été désinstallé dans cet intervalle de 2 semaines)
Oui, il va vraiment chercher tous les partages réseau, donc si votre “sauvegarde” est juste une copie sur un partage réseau, ce n’est pas bon du tout.
Pour le cas de mon client, un des serveurs hébergeant un programme spécifique n’était pas sauvegardé (une base gestion commerciale mdb de 700 Mo, alors que toutes les autres sonnées, plus de 2.5To, étaient correctement sauvegardées.)
Pas le choix, pas le temps d’attendre un décrypteur autre, la rançon (4 bitcoin dans leur cas) a été payée, en retenant son souffle quand à “l’honnêteté” du ransompirate.
Ouf, le système est automatisé, ça se voit, et les données ont été décryptées par l’exécutable envoyé.

Bref, pas glop, mais pour le business l’important est d’avoir récupéré les données.


#8

Salut JeanKowKow, je ne sais pas ce que tu utilise pour faire tes sauvegardes mais moi, avec CobianBackup je n’est pas de soucis. Il utilise le chemin réseau et non ton disque mappé.

Donc tu mappe ton partage en S:\ ( ex : \srvnas\backup ), tu configure tes sauvegardes et tu déconnecte ton disque S:. Normalement il ne pourra pas aller taper dedans.


#9

Nous avons été infecté par locky.
Comme c’est une personne assez importante dans l’entreprise qui à ouvert le fichier word et cliquer sur activer les macros (y a des giffles qui se perdent) ça nous à chiffrer plein de fichiers sur tous les shares réseaux ou il avait accès.

Ils nous a fallut 40min pour nous rendre compte qu’il y avait un problème.
Ils nous à fallut 5min pour isoler la machine (il était propriétaire des fichiers chiffrés) + 1h pour tester si d’autres machines (120 pc) étaient contaminé (si il y a des fichiers en .locky sur le disque dur C c’est qu’elle est contaminé) heureusement il était le seul contaminé.

Nous utilisons rsnapshot qui nous fait un snapshot des partages réseaux (1.3to) toutes les heures, donc à bloqué les deux serveurs qui font tourné rsnapshot.
après j’ai fait un script qui à chercher sur les serveurs de fichiers les .locky et qui les efface et un autre qui à fait un rsync -au depuis le dernier snapshot non contaminé en direction des serveurs de fichiers.

Bien sur les sauvegardes ne sont accessible que en sftp ou rsync. Résultat on a perdu peut être dans certain cas 40min de travail, par contre il nous a fallut tous le reste de la journée pour que tout rentre dans l’ordre.

Pour éviter les fichiers office piégé j’ai bloquer sur l’antispam (clearos) les fichiers office avec macro et ça à l’air de bien jouer.


#10

ça aurait pu être pire, ils auraient pu utiliser un chiffrement par courbes elliptiques, les plus patients peuvent espérer récupérer leurs données dans quelques temps :sweat_smile:


#11

Bon alors on dira, qui n’a pas connu quelqu’un dans son entourage perso ou pro qui s’est fait pourrir par un locky-like ces derniers jours ? :wink:

Pareil pour moi, l’agence immobilière où je devais signer un compromis, juste ce jour là comme par hasard.

Sinon pour reprendre le “Quant au nom de l’expéditeur, ce n’est jamais le même. Il doit s’agir du propriétaire d’une des machines détournées via le botnet pour l’envoi de ces spams.” ce genre de saloperie essaie de taper dans les carnets d’adresses locaux pour envoyer le mail aux autres membres du carnet ce qui est intelligent car cela fait souvent sauter une des sécurités précisée dans ce billet “ne JAMAIS ouvrir une pièce jointe envoyé par mail, et ayant … une provenance douteuse” car du coup la provenance n’est plus douteuse et le récepteur baisse sa garde.

Ensuite le conseil “je vous recommande de vous équiper d’un vrai antivirus” oui bien sur sauf que comme d’hab il faut un temps de latence avant que la signature soit ajoutée, par exemple j’ai un cas où la vérole est arrivée le matin, et TrendMicro ne l’a détectée que dans la nuit et comme ce type de vérole est à action rapide, ben c’est mort s’il n’est pas déjà dans la base de signatures de l’anti-virus et sur SSD c’est encore plus rapide ;-(

Du coup règle numéro 1 : éteindre le plus rapidement possible le PC infecté pour limiter les dégâts s’il est encore temps !

Pour le conseil sur le fait d’effectuer des sauvegardes en effet mais il ne faut pas qu’elle soit faite sur un partage réseau accessible depuis le PC infecté et si cela doit se faire absolument via un simple partage réseau il vaut mieux inverser le partage à savoir que le logiciel de sauvegarde est installé sur une machine qui va chercher un partage dans chaque PC, partage uniquement accessible avec un compte utilisé par cette machine.

La sauvegarde ne doit pas être une simple synchro/mirroir ça ne servira à rien, il faut bien sûr qu’elle soit avec rétention

Autre chose aussi, pour ceux qui “choisiront” de payer, ne le faites pas avec une vraie CB si le paiement s’effectue directement par CB car parfois les mecs ponctionnent plusieurs fois de suite ! donc préférez si possible une CB virtuelle à usage unique.

Autre conseil pour ceux qui possède une fonction Firewall personnel dans leur anti-virus (ou un firewall personnel tout court à la comodo firewall par exemple), il arrive souvent que le mail ne contienne qu’un simple “loader” qui va cherche le ransomware complet sur le Net et comme parfois cela utilise un ActiveX exécuté à partir d’un contenu Word ou Excel, interdisez leur la navigation ou tout du moins basculez-les en mode “demander confirmation pour toute tentative de connexion”.


#12

Il a l’air sympa ce truc …

Il fait de la pub pour : Wikipedia
Il fait de la pub pour : Tor
Il fait de la pub pour : Bitcoins

Notez au passage que seul Thor permettra de vous débarrasser de ce Loki ^^

=> Ok je sors !


#13

Bonjour,

Je cherche un forum avec des spécialistes sur les GPO Windows …
Si vous connaissez ?

Merci


#14

Hello

Qqun saurait-il me dire si l’utilitaire CryptoPrevent est efficace contre Locky ?

Bye


#15

Ceux qui sont sur mac et utilisent Transmission (le client torrent) sans avoir lu ce qu’il se passait dans la dernière mise a jour. Jetez un oeil a ça : http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

Les consignes sont en bas de l’article.


#16

Bonsoir,

J’aurai une question peut être ‘bête’, j’aimerais savoir si sur un synology (ou équivalent xpenology) ce type de virus peut agir via le réseau local ?
(j’ai autorisé le compte du pc à lire les répertoires du NAS évidemment).

Merci pour vos réponses éventuelles.


#17

Blanol : dans mon cas, non, complètement inefficace.

Latour : oui, il attaque par le partage réseau. Pas seulement les lettres mappees, mais aussi tout ce qui est visible dans le “voisinage réseau” :wink:


#18

Merci de ta réponse Sebiii, je suis mode un peu parano, car en installant windows sur un nouveau pc il y a quelques jours, j’ai eu un ransomware aussi (il mettait tout mes fichiers en mp3 et crypté), je ne sais pas comment je l’ai eu, mais j’ai fais le c… car j’ai autorisé un truc windows (le virus en question), mais j’étais en pleinne installation de logiciel etc donc je n’ai pas fait attention, heureusement je n’ai rien perdu car c’était des transferts (l’autre pc n’a pas été infecté).

Il n’y a aucun moyen de mieux s’en protéger (ainsi que son réseau ?) ? (j’ai acheté nod32 du coup car Avira (free) n’a rien vu !! )


#19

Bonsoir,

au cas je vous met les recommandations du CERT ( Computer Emergency Response Team : Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) concernant cette menace (qui a eu droit à 3 mise a jour d’alerte consecutive) :

lien vers le bulletin relatif à locky


#20

Merci lackham, c’est déjà une bonne indication.
Latour, le nod32 le detecte actuellement. (en attendant d’autres formes)
Faire des sauvegardes régulièrement, hors réseau visible (sur les syno on peut faire un partage non visible par exemple).
Le lien de lakham donne aussi des conseils