Sécurité

Ransomware : Locky

En ce début de mois de mars 2016, les ransomwares sont plus que jamais une menace persistante. Même si nous avons appris à vivre avec ce nouveau type de menace sur nos parcs informatiques, c’est une véritable épée de Damoclès pour tous les administrateurs IT. Et les nouvelles de ce début d’année ne sont pas bonnes. Les ransomwares évoluent, et les petits nouveaux se bousculent pour crypter nos précieuses données…

Locky

Le petit nouveau de ce début d’année est le ransomware Locky. Détectés en masse au milieux du mois de février, des pourriels ayant pour but de diffuser largement ce ransomware arrivent maintenant en masse sur la France. Le taux de détection par les solutions antispam est relativement faible.

Première version

Les premières versions des pièces jointes infectieuses étaient des fausses factures au format doc. Cette version est toujours en cours de diffusion. Le document Microsoft Office contient un texte illisible ainsi qu’un message indiquant la nécessité d’activer les macros pour l’affichage correct du message. Acquiescez, et… le loup est dans la bergerie!! Le code malicieux commencera son travail. Il commencera par récupérer le ransomware en le téléchargeant, et ensuite l’exécutera. Le résultat étant le chiffrement des données, qui seront renommés avec l’extension « .locky« .

Source Blog Sophos

Les mails sont identifiables par le sujet et le nom de la pièce jointe :

  • Sujet : « ATTN: Invoice J-<8 chiffres> »
  • Pièce-jointe : « invoice_J-<8 mêmes chiffres> »

Ces caractéristiques peuvent vous aider à bloquer ces mails sur les proxys des réseaux de vos clients par exemple.

Il peut aussi être intéressant d’avoir la liste des URL du téléchargement du binaire Locky (à l’heure actuelle). On peut ainsi imaginer un blocage de ces URL afin d’empêcher la mise en place de Locky malgré l’ouverture du code malicieux.

http://avp-mech.ru_BAD_/7/7.exe
http://bebikiask.bc00.info_BAD_/5/5.exe
http://bnfoviesrdtnslo.uk_BAD_
http://cscrrxyiyc.be_BAD_
http://dkoipg.pw_BAD_
http://drhxvktlaprrhl.be_BAD_
http://dulichando.org_BAD_
http://fnarsipfqe.pw_BAD_
http://gahal.cz_BAD_
http://193.124.181.169_BAD_/main.php
http://195.154.241.208_BAD_/main.php
http://91.195.12.185_BAD_/main.php
http://91.234.33.206_BAD_/main.php
https://103.23.154.184_BAD_:443
https://103.245.153.70_BAD_:343
https://129.15.240.105_BAD_:443
https://140.78.60.4_BAD_:443
https://144.76.73.3_BAD_:1743
https://148.202.223.222_BAD_:443
https://174.70.100.90_BAD_:443
https://176.53.0.103_BAD_:443
https://181.177.231.245_BAD_:443
https://181.53.255.145_BAD_:444
https://185.24.92.236_BAD_:1743
https://185.47.108.92_BAD_:443
https://188.126.116.26_BAD_:443
https://193.17.184.250_BAD_:443
https://194.126.100.220_BAD_:443
https://200.57.183.176_BAD_:443
https://209.239.86.10_BAD_:443
https://217.35.78.204_BAD_:443
https://41.38.18.230_BAD_:443
https://41.86.46.245_BAD_:443
https://46.183.66.210_BAD_:443
https://62.109.133.248_BAD_:444
https://85.143.166.200_BAD_:1743
http://iamnickrobinson.com_BAD_
http://iynus.net_BAD_
http://jaomjlyvwxgdt.fr_BAD_
http://jbdog.it_BAD_
http://killerjeff.free.fr_BAD_/2/2.exe
http://kpybuhnosdrm.in_BAD_
http://luvenxj.uk_BAD_
http://vmanipalecom.net_BAD_
http://vodcxeeg.tf_BAD_
http://ofhhoowfmnuihyd.ru_BAD_
http://onigirigohan.web.fc2.com_BAD_/1/1.exe
http://premium34.tmweb.ru_BAD_/4/4.exe
http://qheksr.de_BAD_
http://sdwempsovemtr.yt_BAD_
http://seaclocks.co.uk_BAD_
http://tirohbvok.in_BAD_
http://uponor.otistores.com_BAD_/3/3.exe
http://vkrdbsrqpi.de_BAD_
http://vldxhdofpmcos.uk_BAD_
http://wpogw.it_BAD_
http://www.iglobali.com_BAD_
http://www.jesusdenazaret.com.ve_BAD_
http://www.southlife.church_BAD_
http://www.villaggio.airwave.at_BAD_
http://95.181.171.58_BAD_
http://185.14.30.97_BAD_
http://195.22.28.196_BAD_
http://195.22.28.198_BAD_
http://pvwinlrmwvccuo.eu_BAD_
http://cgavqeodnop.it_BAD_
http://kqlxtqptsmys.in_BAD_
http://wblejsfob.pw_BAD_

Nouvelle variante

Depuis quelques jours, une variante se répand. Il s’agit de faux mails de facture de Free Mobile.

Subject: Facture mobile du 29-02-2016
From: "Free Mobile" <[email protected]>
Attachments:
Freemobile_0782884641_29-02-2016.pdf    1,7 KB

L’adresse de l’expéditeur n’alerte pas sur la dangerosité du mail, et les clients de free seront donc tentés d’ouvrir la facture. Les autres aussi, pensant à une possible erreur, et voulant découvrir les détails de cette facture.

Il est donc tentant d’ouvrir cette pièce jointe, facture au format PDF. En réalité, il s’agit d’un fichier zip contenant un fichier javascript nommé EPSON000<nombre à 10 chiffres>.js

Là aussi, le script téléchargera le binaire de Locky sur ces URL :

http://baiya_BAD_.org/image/templates/7ygvtyvb7niim.exe
http://bindulin_BAD_.by/system/logs/7ygvtyvb7niim.exe
http://english-well_BAD_.ru/assets/js/7ygvtyvb7niim.exe
http://kokliko_BAD_.com.ua/admin/swfupload/7ygvtyvb7niim.exe
http://liquor1.slvtechnologies_BAD_.com/system/logs/7ygvtyvb7niim.exe
http://mansolution_BAD_.in.th/system/logs/7ygvtyvb7niim.exe
http://u1847.netangels_BAD_.ru/system/smsgate/7ygvtyvb7niim.exe
http://www.notebooktable_BAD_.ru/system/logs/7ygvtyvb7niim.exe
http://sm1_BAD_.by/vqmod/xml/76tr5rguinml.exe
http://dohoatrang.vn/system/logs/23f3rf33.exe

Prévention

Afin de prévenir un cryptage des données par Locky, il peut être intéressant d’envisager une série de mesures. Ces mesures sont valables plus généralement dans le cadre de ransomwares, puisque Locky s’exécute depuis les mêmes emplacement qu’un grand nombre de malwares. Ces mesures s’appuient sur AppLocker, et SRP.

  • Si vous utilisez AppLocker, appliquez ces règles :
    • OSDRIVE\Users\*\AppData\
    • OSDRIVE\Windows\Temp\
  • Si vous utilisez les restrictions logicielles (SRP), les règles de blocage suivantes doivent être appliquées :
    • UserProfile\AppData
    • SystemRoot\Temp

Pour cette dernière mesure (les restrictions logicielles SRP), il est important de vérifier que le service « Application Identity » (AppIDSvc) est paramétré en démarrage automatique sur l’ensemble des postes (ce mode de démarrage peut être paramétré à travers une politique de groupe sur le domaine Windows).

Cependant, si ces mesures sont efficaces, des problèmes peuvent apparaitre, puisque des applications légitimes peuvent s’exécuter depuis ces emplacements. Il faudra donc passer par une phase d’audit, puis de test, afin de déterminer ce qui est bloquant, et au final mettre en place une liste blanche d’applications à exécuter, prioritairement au blocage de toutes les applications dans ces répertoires.

Et enfin, évidement, le système de sauvegarde doit être vérifié (bon fonctionnement, périodicité, tests de restauration), et proposer une version hors ligne des sauvegardes (hors réseau).

Réaction

Si toutefois vous constatez une infection par ce ransomware Locky (mais comme tous les autres en réalité), il est important de déconnecter la machine immédiatement du réseau. Ensuite, il faut tout de suite changer les droits des partages réseaux par « Lecture seule« , afin d’empêcher la destruction de fichiers. Sauvegardez immédiatement ce qui n’est pas touché, mais considérez les données comme potentiellement infectées.

Supprimez la copie serveur des profils distants, qui contiennent potentiellement le code malveillant.

Ensuite, attaquez-vous à l’analyse de l’attaque, puis à la désinfection du parc, et suppression de la source de l’attaque (vecteur infectieux).

 

Samuel Monier

Informaticien indépendant Réseaux et systèmes - Infrastructure - Serveurs. J'interviens sur les départements 42 - 63 - 69 - 43 - 71, et à échelle nationale à distance. N'hésitez pas à me demander conseil!

Articles similaires

4 commentaires

  1. merci pour ton partage, je reçois rgulierement des facture freemobile mais comme je ne suis pas abonn, je les jette. il faut cependant faire trs attention car on recois aussi des notification pour des probleme lié au CB provenant de la banquepostale ou lcl ou encore le credit mutuel A ne surtout pas ouvrir non plus sinon vous n’aurez plus acces à rien.

    1. Ce que tu décris concerne plus des techniques de phishing, afin d’essayer d’attirer la cible à rentrer des infos bancaires, ou de connexion, sur un site frauduleux.
      En tous cas, pour Locky, qui est le sujet de cet article, c’est pour le moment uniquement des pièces jointes présentant une facture Free Mobile qui ont été décelées.
      Mais effectivement, en conseil d’ordre général, on peut dire « Attention aux mails suspects, et dont on ne connait pas l’expéditeur ».

    1. C’est dans les cartons 😉
      Je pense le mettre en place dans une PME prochainement, j’en profiterai pour faire un article, ou une série d’articles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page