Ransomware : Locky
En ce début de mois de mars 2016, les ransomwares sont plus que jamais une menace persistante. Même si nous avons appris à vivre avec ce nouveau type de menace sur nos parcs informatiques, c’est une véritable épée de Damoclès pour tous les administrateurs IT. Et les nouvelles de ce début d’année ne sont pas bonnes. Les ransomwares évoluent, et les petits nouveaux se bousculent pour crypter nos précieuses données…
Locky
Le petit nouveau de ce début d’année est le ransomware Locky. Détectés en masse au milieux du mois de février, des pourriels ayant pour but de diffuser largement ce ransomware arrivent maintenant en masse sur la France. Le taux de détection par les solutions antispam est relativement faible.
Première version
Les premières versions des pièces jointes infectieuses étaient des fausses factures au format doc. Cette version est toujours en cours de diffusion. Le document Microsoft Office contient un texte illisible ainsi qu’un message indiquant la nécessité d’activer les macros pour l’affichage correct du message. Acquiescez, et… le loup est dans la bergerie!! Le code malicieux commencera son travail. Il commencera par récupérer le ransomware en le téléchargeant, et ensuite l’exécutera. Le résultat étant le chiffrement des données, qui seront renommés avec l’extension « .locky« .
Les mails sont identifiables par le sujet et le nom de la pièce jointe :
- Sujet : « ATTN: Invoice J-<8 chiffres> »
- Pièce-jointe : « invoice_J-<8 mêmes chiffres> »
Ces caractéristiques peuvent vous aider à bloquer ces mails sur les proxys des réseaux de vos clients par exemple.
Il peut aussi être intéressant d’avoir la liste des URL du téléchargement du binaire Locky (à l’heure actuelle). On peut ainsi imaginer un blocage de ces URL afin d’empêcher la mise en place de Locky malgré l’ouverture du code malicieux.
http://avp-mech.ru_BAD_/7/7.exe http://bebikiask.bc00.info_BAD_/5/5.exe http://bnfoviesrdtnslo.uk_BAD_ http://cscrrxyiyc.be_BAD_ http://dkoipg.pw_BAD_ http://drhxvktlaprrhl.be_BAD_ http://dulichando.org_BAD_ http://fnarsipfqe.pw_BAD_ http://gahal.cz_BAD_ http://193.124.181.169_BAD_/main.php http://195.154.241.208_BAD_/main.php http://91.195.12.185_BAD_/main.php http://91.234.33.206_BAD_/main.php https://103.23.154.184_BAD_:443 https://103.245.153.70_BAD_:343 https://129.15.240.105_BAD_:443 https://140.78.60.4_BAD_:443 https://144.76.73.3_BAD_:1743 https://148.202.223.222_BAD_:443 https://174.70.100.90_BAD_:443 https://176.53.0.103_BAD_:443 https://181.177.231.245_BAD_:443 https://181.53.255.145_BAD_:444 https://185.24.92.236_BAD_:1743 https://185.47.108.92_BAD_:443 https://188.126.116.26_BAD_:443 https://193.17.184.250_BAD_:443 https://194.126.100.220_BAD_:443 https://200.57.183.176_BAD_:443 https://209.239.86.10_BAD_:443 https://217.35.78.204_BAD_:443 https://41.38.18.230_BAD_:443 https://41.86.46.245_BAD_:443 https://46.183.66.210_BAD_:443 https://62.109.133.248_BAD_:444 https://85.143.166.200_BAD_:1743 http://iamnickrobinson.com_BAD_ http://iynus.net_BAD_ http://jaomjlyvwxgdt.fr_BAD_ http://jbdog.it_BAD_ http://killerjeff.free.fr_BAD_/2/2.exe http://kpybuhnosdrm.in_BAD_ http://luvenxj.uk_BAD_ http://vmanipalecom.net_BAD_ http://vodcxeeg.tf_BAD_ http://ofhhoowfmnuihyd.ru_BAD_ http://onigirigohan.web.fc2.com_BAD_/1/1.exe http://premium34.tmweb.ru_BAD_/4/4.exe http://qheksr.de_BAD_ http://sdwempsovemtr.yt_BAD_ http://seaclocks.co.uk_BAD_ http://tirohbvok.in_BAD_ http://uponor.otistores.com_BAD_/3/3.exe http://vkrdbsrqpi.de_BAD_ http://vldxhdofpmcos.uk_BAD_ http://wpogw.it_BAD_ http://www.iglobali.com_BAD_ http://www.jesusdenazaret.com.ve_BAD_ http://www.southlife.church_BAD_ http://www.villaggio.airwave.at_BAD_ http://95.181.171.58_BAD_ http://185.14.30.97_BAD_ http://195.22.28.196_BAD_ http://195.22.28.198_BAD_ http://pvwinlrmwvccuo.eu_BAD_ http://cgavqeodnop.it_BAD_ http://kqlxtqptsmys.in_BAD_ http://wblejsfob.pw_BAD_
Nouvelle variante
Depuis quelques jours, une variante se répand. Il s’agit de faux mails de facture de Free Mobile.
Subject: Facture mobile du 29-02-2016 From: "Free Mobile" <[email protected]>
Attachments: Freemobile_0782884641_29-02-2016.pdf 1,7 KB
L’adresse de l’expéditeur n’alerte pas sur la dangerosité du mail, et les clients de free seront donc tentés d’ouvrir la facture. Les autres aussi, pensant à une possible erreur, et voulant découvrir les détails de cette facture.
Il est donc tentant d’ouvrir cette pièce jointe, facture au format PDF. En réalité, il s’agit d’un fichier zip contenant un fichier javascript nommé EPSON000<nombre à 10 chiffres>.js
Là aussi, le script téléchargera le binaire de Locky sur ces URL :
http://baiya_BAD_.org/image/templates/7ygvtyvb7niim.exe http://bindulin_BAD_.by/system/logs/7ygvtyvb7niim.exe http://english-well_BAD_.ru/assets/js/7ygvtyvb7niim.exe http://kokliko_BAD_.com.ua/admin/swfupload/7ygvtyvb7niim.exe http://liquor1.slvtechnologies_BAD_.com/system/logs/7ygvtyvb7niim.exe http://mansolution_BAD_.in.th/system/logs/7ygvtyvb7niim.exe http://u1847.netangels_BAD_.ru/system/smsgate/7ygvtyvb7niim.exe http://www.notebooktable_BAD_.ru/system/logs/7ygvtyvb7niim.exe http://sm1_BAD_.by/vqmod/xml/76tr5rguinml.exe http://dohoatrang.vn/system/logs/23f3rf33.exe
Prévention
Afin de prévenir un cryptage des données par Locky, il peut être intéressant d’envisager une série de mesures. Ces mesures sont valables plus généralement dans le cadre de ransomwares, puisque Locky s’exécute depuis les mêmes emplacement qu’un grand nombre de malwares. Ces mesures s’appuient sur AppLocker, et SRP.
- Si vous utilisez AppLocker, appliquez ces règles :
- OSDRIVE\Users\*\AppData\
- OSDRIVE\Windows\Temp\
- Si vous utilisez les restrictions logicielles (SRP), les règles de blocage suivantes doivent être appliquées :
- UserProfile\AppData
- SystemRoot\Temp
Pour cette dernière mesure (les restrictions logicielles SRP), il est important de vérifier que le service « Application Identity » (AppIDSvc) est paramétré en démarrage automatique sur l’ensemble des postes (ce mode de démarrage peut être paramétré à travers une politique de groupe sur le domaine Windows).
Cependant, si ces mesures sont efficaces, des problèmes peuvent apparaitre, puisque des applications légitimes peuvent s’exécuter depuis ces emplacements. Il faudra donc passer par une phase d’audit, puis de test, afin de déterminer ce qui est bloquant, et au final mettre en place une liste blanche d’applications à exécuter, prioritairement au blocage de toutes les applications dans ces répertoires.
Et enfin, évidement, le système de sauvegarde doit être vérifié (bon fonctionnement, périodicité, tests de restauration), et proposer une version hors ligne des sauvegardes (hors réseau).
Réaction
Si toutefois vous constatez une infection par ce ransomware Locky (mais comme tous les autres en réalité), il est important de déconnecter la machine immédiatement du réseau. Ensuite, il faut tout de suite changer les droits des partages réseaux par « Lecture seule« , afin d’empêcher la destruction de fichiers. Sauvegardez immédiatement ce qui n’est pas touché, mais considérez les données comme potentiellement infectées.
Supprimez la copie serveur des profils distants, qui contiennent potentiellement le code malveillant.
Ensuite, attaquez-vous à l’analyse de l’attaque, puis à la désinfection du parc, et suppression de la source de l’attaque (vecteur infectieux).
merci pour ton partage, je reçois rgulierement des facture freemobile mais comme je ne suis pas abonn, je les jette. il faut cependant faire trs attention car on recois aussi des notification pour des probleme lié au CB provenant de la banquepostale ou lcl ou encore le credit mutuel A ne surtout pas ouvrir non plus sinon vous n’aurez plus acces à rien.
Ce que tu décris concerne plus des techniques de phishing, afin d’essayer d’attirer la cible à rentrer des infos bancaires, ou de connexion, sur un site frauduleux.
En tous cas, pour Locky, qui est le sujet de cet article, c’est pour le moment uniquement des pièces jointes présentant une facture Free Mobile qui ont été décelées.
Mais effectivement, en conseil d’ordre général, on peut dire « Attention aux mails suspects, et dont on ne connait pas l’expéditeur ».
Ce Locky est un vrai calvaire, tu nous fais bientôt un ptit tuto sur AppLocker et SRP ?
C’est dans les cartons 😉
Je pense le mettre en place dans une PME prochainement, j’en profiterai pour faire un article, ou une série d’articles.