Locky - Tout ce qu'il y a à savoir sur le malware du moment

lansing · Mars 11, 2016, 1:04

Comment peut-on s’abonner aux alertes CERT ?

Gomez · Mars 11, 2016, 1:29

Menu de gauche.

lansing · Mars 11, 2016, 2:33

J’ai vu le RSS, mais pas de liste de diffusion par mail comme on peut avoir pour Debian/Linux par exemple.

markham · Mars 11, 2016, 5:19

Comme dis plus haut , le cert se reçoit en flux rss… à l’exeption des RSSI, qui ont une mailing list dédié dans laquelle les alerte cert critique sont retransmise.

Mais bon pour les autres on peut toujours passer par une moulinette qui les envoi par mail comme :
convertisseur rss mail

ps: j’ai pris le premier lien google, donc a voir site plus performant existe

Dodutils · Mars 11, 2016, 6:58

malheureusement il ne s’agit pas d’un simple encodage mais d’un chiffrement symétrique, cela veut dire que les octets ne sont pas simplement transcodé via une table de correspondance du genre 00=34 01=26 02=8F 03=5C etc… mais sont modifiés de façon bien plus complexe via des calculs matriciels.

Le chiffrement utilisé est généralement de type AES-256 qui s’il est “techniquement” possible d’en casser la clé de chiffrement cela ne peut pas aujourd’hui être fait dans des délais raisonnables car il faudrait largement plus d’une vie entière avec toute la puissance informatique de la planète

islogged · Mars 11, 2016, 11:45

C’est effectivement le décrypteur.

Ok, mais dans ce cas pourquoi Windows Defender me le détecte comme (Ransom:Win32/Locky.A) menace Sévère

Il intègre la clé de décryptage spécifique donc il n’est pas utilisable à volonté

Et comment fait-il pour vous reconnaître de la masse des PC infecté ?
Je suis curieux …

Dodutils · Mars 12, 2016, 10:07

Possible réponse : lorsque qu’il infecte une machine, il communique avec un serveur qui garde un liste d’identifiants uniques pour chaque machine infectée et la clé générée aléatoirement qui va avec. Du coup quand tu paies sur leur site, le serveur affiche la clé associée à cet identifiant.

Galeric · Mars 12, 2016, 11:20

Les fichiers cryptés comportent dans la première partie du nom qui leur est affecté un identifiant unique correspondant à chaque user. Dans le cas de machines en réseau il y aura autant d’identifiants que d’users infectés

Dodutils · Mars 12, 2016, 11:58

ok donc c’est bien ça il y a un ID unique pour chaque machine infectée et c’est cet ID qui servira au serveur ransomware de retrouver la bonne clé de chiffrement.

Nathanga57 · Mars 16, 2016, 7:36

Salut à tous, petite info utile ayant été victime de ce ransomware. Activez la corbeille réseau, le virus créer un nouveau fichier chiffre et delete l’ancien qui reste dans la corbeille. Avec la date et le chemin vous devriez retrouver le .tmp de votre fichier pour l’ouvrir avec Word ou autre. Cela convient pour les documents très important, sinon Restore/backup.
Bien cordialement
Nathan

Dodutils · Mars 16, 2016, 8:55

Je pige pas trop cette histoire, cela veut dire que tu vas te retrouver avec 10.000 .tmp dans la corbeille ? si c’est ça ce locky est vraiment pas malin et surtout je pige pas pourquoi il renommerait le .doc en .tmp pour ensuite le supprimer.

Nathanga57 · Mars 16, 2016, 9:33

En corbeille réseau quand tu supprime un fichier il se met en tmp, il n’a plus son extension. Ce ransomware fait une copie du fichier original avec encryption et il supprime la vrai version. Donc si tu as la corbeille réseau de ton serveur de fichier activé, ça va dedans. Utile pour récupérer dès documents très importants, pas volumineux, disons que cest de l’appoint. Dans une banque t’es mal barré vu la quantité. Après tu ouvre ton tmp, avec exel si c’était un ancien exel, Word pour Word et voilà.
On a pu récupérer des offres qui n’était pas sur le dernier back up.

Dodutils · Mars 16, 2016, 9:50

ah oui pardon tu parles de la corbeille réseau donc uniquement les fichiers chiffrés dans des lecteurs réseau que locky aura passé au crible, ceci dit sur les lecteurs réseau tu as aussi les clichés instantanés qui peuvent aider à revenir en arrière.

Nathanga57 · Mars 17, 2016, 6:05

Tout à fait, mais dans notre cas on ne l’avait pas active

Sebiiiii · Mars 17, 2016, 11:09

Merci Nathanga57, cette astuce fonctionne bien, je viens de vérifier (sur synology).

Korben, je pense que tu devrais l’afficher dans ton article aussi, ça peut être utile à plein de monde.

A noter aussi, sur synology (et peut être d’autres), dans certains cas, on peut activer la corbeille à postériori, laisser le serveur quelques heures, et revenir voir, la corbeille se remplie automatiquement. Si j’ai bien compris, il s’agirait d’un effet de bord des systèmes de fichiers ext3/4

islogged · Mars 17, 2016, 6:40

Si ce décrypteur fonctionne en envoyant l’ID unique au serveur pour récupéré la clé de déchiffrement associé alors je ne vois pas pourquoi ce décrypteur ne serai pas générique et ne fonctionnerait pas pour tout le monde !

Personnellement, je ne suis pas impacté … mais bon !

Dodutils · Mars 17, 2016, 7:33

Si la clé de déchiffrement est la même pour tous plus personne ne va payer la rançon il suffirait de la diffuser publiquement sur un site dédié à ce type de ransomware pour que les gens puissent aller la récupérer.

Il existe aussi des ransomware qui partent par “campagnes” avec un pool de par exemple 5000 mails avec une clé et 5000 autres avec une autre clé ainsi de suite et le ransomware affiche l’ID de la campagne pour pouvoir en récupérer la clé de déchiffrement et dans ce cas on pourrait avoir aussi un site où les gens qui auront payé puissent mettre leur clé à dispo (si elle n’a pas déjà été déclarée sur le site).

gmg · Mars 30, 2016, 12:52

Salut à tous
Comme tout le monde nos clients ont étés impactés par locky puis par celui qui cryptait en mp3, puis celui qui laissait les xls et doc mais sans qu’on puissent y accéder. bref, ces dernières semaines ont été rock n roll, et on s’en ait sorti grâce à nos sauvegardes (la plupart des serveurs de nos clients sauvegardes toutes les heures).
je viens ici partager une idée qu’on a mise en place et que je n’ai pas vu au fil de cette discussion. bon j’ai peut etre raté un ou 2 posts.
le truc c’est que le ransomware accède à plein de fichiers sur les lecteurs réseau, depuis la même machine, en quelques minutes. ce qui est humainement infaisable. on parle ici de plusieurs dizaines, voire centaines de fichiers à la seconde. on a donc trouvé un soft qui surveille l’accès intempestifs aux fichiers et nous envoie une alerte si le cas se présente.
ça fait parti d’un ensemble de solutions mises en place bien sûr, mais ça peux aider.
voilou

belilan · Mai 6, 2016, 7:52

Bonjour,
Je suis étudiant en informatique et dans le cadre de mon cours de sécurité, je dois préparer un TP sur les ransomware. Comment il fonctionne, comment s’en débarrasser, et comment s’en protéger.
Je dois également faire une démonstration, j’ai donc crée une machine virtuelle avec windows 7 et une adresse email jetable sur gmail afin de faire la démonstration. Le but est d’infecter la machine virtuelle, et la nettoyer ensuite etc.
Votre article sur locky m’a fort intéressé, mais j’"aimerais mettre la main sur un email infecté par locky afin de préparer mon TP.
Pouvez-vous m’aider avec cela svp.
merci

DAH · Juin 16, 2016, 3:01

Pour bloquer l’extension << .JS >> lorsque c’est l’utilisateur qui le lance par double clique sans pour autant bloquer les .js dans les applies il y’a le freeware “Script Defender” d’AnalogX. Je l’ai utilisé il y’a quelques années. Il fonctionne bien mais comme tout outils de sécurité peut parfois causer des bugs.Avant de l’utiliser faites une sauvegarde de la clé HKEY_CLASSES_ROOT de la BdR. Cela fait des années que je ne l’ai pas utilisé à retester donc.