Une solution qui peut être pas mal,
ce fait un linux avec partition home séparé et partition tmp séparé
dans le fstab interdire l’exécution sur le home et sur le tmp (nodev,nosuid,noexec).
et utiliser ce linux pour ouvrir vos email
voir cette source:
https://kb.iweb.com/entries/23960922-Augmenter-la-sécurité-du-serveur-Linux-avec-les-options-nodev-nosuid-et-noexec?locale=16
Plusieurs solutions existent également sur PC, on a la possibilité d’interdire l’exécution de fichier dans les répertoires temporaires mais cela n’est pas sans impactes.
Il est également possible d’interdire la création de clés registres que locky créé ( avant de crypter ) et il semble que cela stop le processus de cryptage.
Je vais monter une VM et valider cela.
Bonjour, et merci pour l’article. Je suis en cours de nettoyage après un passage de Locky sur les machines d’une entreprise. Dans ce cas l’infection est venue via un mail d’une personne connue de l’entreprise avec soi disant en piece jointe une facture orange visible via un lien qui en fait était un code Java. Il semble que Locky n’ait fonctionné que pendant 5mn, cryptant des fichiers entre 11:01 et 11:06.
Pour l’instant pas d’exécutable trouvé sur les machines.
Seule trace trouvée dans la base de registre, un .Locky dans HKU S-1-5-21xxxxx Software Microsoft Windows Explorer FileExts
Merci pour l’article, mais décidément je n’arrive pas à comprendre pourquoi le problème se situe entre le clavier et la chaise.
A l’heure ou tout est scanné, où mon admin au boulot analyse le message que je suis en train d’écrire, où les DSI sont super tendus et coupent les accès aux mails perso en https, le problème n’est-il pas dans l’accessibilité de l’utilisateur à ce fichier vérolé ?
L’article montre comment il est TRES simple de se rendre compte par un mail-scan que Locky est présent, et donc de s’en débarrasser avant qu’il ne fasse le moindre dégât.
Je suis désolé mais la faille se situe chez le tech informatique, sur le serveur de mail (chez Windows aussi), mais pas chez l’utilisateur final.
Je voudrais bien voir un cas aux prud’hommes d’un salarié qui serait licencié pour faute lourde (sans indemnité ni chômage) pour avoir fait diffusé Locky sur le réseau de sa boite.
Un simple Windows Defender (pas à jour) me le détecte comme menace Sévère (Ransom:Win32/Locky.A)
Donc est-tu sûre que ce soit le décrypteur et non le crypteur ?
D’ailleurs si c’est le décrypteur, pourquoi ne décrypterait-il pas n’importe quelle utilisateur contaminé ?
Bonjour,
Une solution efficace en entreprise s’appelle AppSense … un ensemble d’outils formidables.
En particulier, le module “Application Manager” permet de définir quelles applications un utilisateur a le droit d’éxécuter sur son poste de travail … Les ransomware ou autres spyware n’ont donc pas le droit de s’éxécuter et de s’installer.
Bien sur, cela nécessite que les utilisateurs ne soient pas admin de leur poste de travail.
Sans vouloir faire de publicité à cette société, cette solution semble etre la seule actuellement permettant de se prémunir des spyware de type cryptolocker qui gènèrent des gros dégats actuellement dans de nombreuses entreprises.
cdt,
MrPochpoch.
Parce que les gens font souvent n’importe quoi. Mais effectivement parfois on n’y peut rien, comme pour la mise a jour de Transmission bidouillé sur leurs propres serveurs…
Perso, j’ai bloqué les macros et active-x pour le pack Office via GPO.
Il suffit de télécharger le fichier ADMX correspondant à son pack office et de copier le contenu du répertoire ADMX sur le contrôleur de domaine à cet endroit :
C:\Windows\SYSVOL\sysvol\Votre Domain\Policies\PolicyDefinitions
Après faut créer une GPO Utilisateur et dans Model d’administration vous verrez, Excel, Word, Office, ect…
Sur chacun d’eux, il faut aller dans la rubrique Sécurité et bloqué macro VBA et notification.
Par contre depuis hier, c’est sous la forme de .JS que ça essaie de se propager. Si quelqu’un à une idée pour bloqué les .JS sans que ça bloque les applies web en java, je suis preneur.
Le souci c’est que mon NAS est toujours accessible par le réseau, je ne le déconnecte pas comme je le ferais avec un disque dur externe… Donc mes sauvegarde qui y sont stockées ne sont pas en sécurité.
Effectivement, pour conserver des sauvegardes en sécurité avec ce genre de menace, il faut les faire sur un disque dur externe qu’on déconnecte en fois celles-ci terminées.
Bonjour a tous,
Je me pose des questions sur le chiffrement de locky.
Je dois avouer que la crypto n’est vraiment pas mon fort, mais j’aimerais soumettre une idée.
Croyez vous qu’il soit possible de “tenter” de déchiffrer un fichier locky par attaque à texte clair.
Prenons l’exemple d’un user dont ces données sont chiffrées par Locky.
Sous windows, dans le répertoire “C:\Users\Public\Pictures\Sample Pictures” se trouve des images jpg (dans 99% des cas).
La caractéristique d’un jpg est qu’il commence et finit par 2 valeurs hexa spécifiques (respectivement 0xFFD8 et 0xFFD9).
En tentant une attaque à texte clair, sur le début de fichier (dans le cas exposé nous sommes sur que les fichiers chiffrés présents sont des jpg), ne serait il pas possible d’avoir une probabilité de trouver la clef ? (En tout cas si une clef permettant de retrouver l’entête hexa du jpg match dessus… sinon, aucune chance)
J’imagine que c’est plus complexe que cela mais je voulais juste exposer une vague idée.
C’est effectivement le décrypteur.
Il intègre la clé de décryptage spécifique donc il n’est pas utilisable à volonté
Si tu as plusieurs siècles devant toi oui c 'est mathématiquement possible 
J’ai activé à moitié en urgence une GPO pour toutes les versions Office 2007 à 2016, vu que des gentils utilisateurs lambda-bourrins ne regardent pas où ils cliquent.
J’ai fait simple, je ne sais pas si c’est inutile / minimum syndical / à améliorer ?
Paramètres de notification de macro VBA Activé : Désactiver tout, à l’exception des macros signées numériquement
Désactiver le mode protégé pour les pièces jointes ouvertes à partir d’Outlook Désactivé
Utiliser le mode protégé pour les pièces jointes provenant d’expéditeurs internes Activé
Sympa la façon de traiter les personnes pour qui tu bosses, et qui, si ca se trouve, ne savent même pas que Locky existe.
Mais effectivement la GPO c’est le minimum. La désinstallation d’Office et le remplacement par un autre produit équivalent moins passoire sera une étape ultérieure.
Vu passer un lien intéressant
https://ransomwaretracker.abuse.ch/tracker
Une vraie plaie ce malware…
Sauf que j’avais fait un mail précis juste la veille. Et le troll kikou micro$oft, c’est bien quand on à moins de 14 ans.
Pour ma part nous avons été infecté Mardi 1ier avril. Locky est arrivé par un mail imitant celui d’un cabinet d’avocat avec une pièce jointe .zip et a l’intérieur un script.js Il a fallu 7 minute pour débrancher le PC infecté mais le mal était fait. Tout les fichiers du bureau, des partages et des documents crypté.
L’antivirus n’a détecté le fichier comme étant infecté que 10 minutes après son ouverture
LA personne avait pris l’habitude de n’enregistrer ces fichiers (parce que c’est plus pratique) que sur son bureau malgré mes avertissement donc pas de sauvegarde.
Elle utilisait également des logiciel métiers (comptabilité et RH) en client serveur mais qui, pour fonctionner , utilisent également un partage réseau pour les fichiers de configuration. L’éditeur du logiciel (Berger Levrault) à bien profité de la situation car il nous a facturé 500€ pour réinstaller le logiciel ( malgré un contrat de maintenance de 4000€ annuel) et a mis 7 jour pour le faire.
Quelle S… ce locky
Dans ma boite on y travaille sérieusement à la suppression définitive d’Office.
Essaye juste de comprendre que ton mail d’alerte les “gentils utilisateurs lambda-bourrins” s’en tamponnent. D’autres ne l’auront même pas vu de retour de meeting ou de vacances. Pire il sera lu APRES avoir lancé Locky. Tu sais dans Outlook, on regarde ses mails par ordre d’arrivée, c’est comme ça que les vrais gens font. Le mail “Au loup” du service informatique, il passe par pertes et fracas après le boulot.
C’est toi qui génère la faille. Pas l’utilisateur. Tu pourrais d’abord bloquer l’accès aux mails, tu scannes TOUS les mails du serveur, toutes les pièces jointes. Tu fais la GPO et ensuite tu croises les doigts. Bien sur aucun mail pro avec PJ ne doit être délivré à l’utilisateur avant de l’avoir vérité.
Juste du bon sens,
… que tu considéreras comme troll, pour te voiler la source du problème.
es ce que le virus s’installe si le user du domaine n’est pas admin de la machine ?
Ce ne pas la solution mais ça aide, j’utilise le mailwasher de firetrust depuis au moins 10 ans.