Locky - Tout ce qu'il y a à savoir sur le malware du moment

Bonjour,

Une question quand vous dites " il chiffre tous les partages visibles" même les partages avec des droits NTFS ? vous me faites peur les gars ?!

Merci.

Pour info le virus utilise aussi des scripts javascript dans des .zip pour se propager. Si l’utilisateur ouvre le zip et double-clique sur le .js par curiosité, le script est exécuté par “Windows Scripting Host” qui va alors télécharger un .exe et le lancer.
J’ai reçu plusieurs mails avec des .js malicieux.
Plus d’info : https://blogs.mcafee.com/mcafee-labs/locky-ransomware-rampage-javascript-downloader/

Pour les lecteurs réseaux, Symantec End Point Protection empêche d’aller sur les lecteurs via l’option “intrusion réseau”.
Sinon crashplan est vraiment pratique pour ce genre de problème

Bonjour,

Une question, quand vous dites " il chiffre tous les partages
visibles" même les partages protégés avec des droits NTFS ?

il se base sur les droits de l’utilisateur , si il a que de la lecture alors les fichiers ne sont pas cryptés puisqu’il n’a pas les droits

Merci tu me rassure !

Forum microsoft : http://www.forum-microsoft.org/viewforum.php?f=81

Évitez les AV gratuits (la plupart sont des paniers percés)

Je trouve ça assez réducteur de ta part Korben ! Autant beaucoup d’antivirus gratuits sont des paniers percés, autant des AV comme Panda et Avira sont très efficaces et détectent autant de menaces que Kaspersky ou autres payants.
Il suffit de regarder les rapports :
http://chart.av-comparatives.org/chart1.php

Le meilleur antivirus c’est la personne entre le clavier et la chaise ^^

C’est vrai qu’Avast s’en sort pas trop mal en général. Ce qui ne l’empêche pas d’être insupportable a utiliser… https://www.av-test.org/fr/antivirus/particuliers-windows/

SuperCool, j’espère que le niveau y est !
Merci ^^

Est-ce que les Locky-Like analysent le chemin des raccourcis sur le bureau ou autre ? (exemple de données posés en dehors du bureau, mes doc,etc…)
Est-ce que le fait d’avoir des utilisateurs sans les droits administrateurs empêche les Locky-like de réactiver ou explorer le voisinage réseau ou de désactiver le Shadow copy ?

Merci d’avance

“Évitez les AV gratuits (la plupart sont des paniers percés) ou les petits outils de désinfection qui vous promettent monts et merveilles.”

Ok. Mais quel(s) logiciel(s) conseillez-vous ou utilisez-vous ?

Je ne suis pas contre passer à un antivirus payant mais quand on voit les comparatifs c’est souvent illisible et aucun ne semble se détacher réellement…

Comment peut-on encore ouvrir ce genre d’email (et je ne parle même pas de la pièce jointe) de nos jours ? Surtout dans un pays francophone …

Ca me dépasse …

c’est clair ! il ne me viendrait pas à l’esprit de cliquer sur un truc pareil ! c’est poubelle dès les première lettres lus …
sinon,ouvrir dans une sandbox n’a pas été proposé ! pourquoi ?

chez nous on a pu retrouver des fichiers avec shadow explorer

Bonjour,

Cette information n’est pas bonne à diffuser je le sais bien…
Une société que je connais n’avais plus aucun moyen de récupérer ses fichiers et ne pouvait plus travailler.
Ils ont payé (4 BTC) et on récupéré en moins de 10 minutes un “Lockydecoder” qui à effectivement décrypté l’intégralité des fichiers.

J’ai la possibilité de vous faire passer ce décrypteur si vous souhaitez l’analyser.

Quelqu’un a des infos sur ce qu’il se passe quand on ouvre la pièce jointe avec LibreOffice et non pas Microsoft Office ? Et sur les versions de MS sur lequel le problème se produit ?

Rien il dit que ce document contient des macros qui ont été désactiver.
Dans le word il n’y a rien.
Par contre si la personne va activer les macros la on ne peut plus rien

Word demande si il faut activer les macros, c’est plus dangereux que libreoffice parce que si la personne
ne lit pas le message et clique sur oui c’est la fin des carottes, tandis que libreoffice il faut aller dans des menus pour activer les macros

Il est d’ailleurs téléchargeable ici : https://i3ezlvkoi7fwyood.onion.to/0D0CF2ABCEFE6A75

Attention il n’utilise pas que les .doc pour se diffuser.
A l’heure actuelle on constate aussi du .ZIP ( Faux cabinet d’avocat ou fausse facture Free ), et du .js également