Le virus LOCKY

Ransomware virus locky

En février 2016, le nombre de virus transmis par email correspond à 6 mois habituel d’infection virale.

Le virus LOCKY.

Depuis plusieurs semaines, nous recevons tous régulièrement des emails concernant des factures, des avoirs, des relances de paiements accompagnés d’une pièce  jointe avec extension .doc ou .docx

Les pièces jointes sont infectés par le virus « locky », ce virus Locky si vous ouvrez le document cela exécute une macro word, qui va elle-même lancer un fichier exécutable labidy.exe  qui est généralement  situé dans \windows\temp ou \user\….\appdata\

L’ensemble des éditeurs de solution antivirales n’ont pas été en mesure de proposer une solution d’interception du virus Locky, durant deux jours les 25 et 26 février, cela s’explique à la fois par la mutation rapide du virus, son changement de comportement mais aussi par la difficulté pour les éditeurs de récupérer une pièce jointe infectées remonté par un client l’ayant reçu.

L’effet de ce virus, est de « chiffrer » l’ensemble des fichiers accessibles depuis l’ordinateur infecté. C’est-à-dire à la fois la totalité du disque dur de la machine infecté, mais aussi, les clés USB ou disque dur connectés, ainsi et cela est plus grave pour les éventuels partage réseau accessible.

Il faut comprendre qu’en entreprise les utilisateurs ont généralement accès à des ressources partagées, lecteurs réseau, et que les données qui sont présentes seront donc chiffrées par ce virus.

La conséquence est simple, chaque fichier chiffré par le virus devient inutilisable.

Il n’existe à ce jour aucune solution technique viable  pour déchiffrer un fichier impacté par ce virus. La clé de chiffrement utilisée sur 4096bits nécessiterait environ 3 années à un ordinateur pour déchiffrer un seul fichier.

En cas d’infection, le premier réflexe est d’isoler le plus rapidement possible l’ordinateur à l’origine de l’infection. Isoler consiste à le déconnecter du réseau  (filaire et wifi). Une fois la source infecté déconnecté du réseau, les dégâts sont circonscrits. Le virus Locky n’utilise pas le carnet d’adresse de la machine infecté pour se diffuser à d’autres.

Si l’origine de l’attaque n’est pas à priori connue (personne ne déclare avoir cliqué sur une pièce jointe…), il faut rechercher des fichiers avec l’extension .locky et faire bouton –droit/ propriété / auteur / pour afficher  le nom de la machine ayant modifié le fichier et donc infectée par le virus.

En cas d’infection, les fichiers sont perdus, il faut procéder à un restauration depuis une sauvegarde.

Il ne sert bien évidement à rien de payer la rançon demandée.

Idéalement, il faut transmettre la pièce jointe reçu, avec un maximum d’information sur le contexte à votre éditeur d’antivirus afin qu’il soit analysé en vue de mettre en place un « vaccin » dans les meilleurs délais.

Site F-Secure pour soumettre un pièce jointe douteuse  ou infectée :

https://www.f-secure.com/en/web/labs_global/submit-a-sample

Afin de prémunir contre ce type d’attaque, il est impératif de disposer d’un antivirus à jour.

Idéalement l’utilisateur du poste ne doit pas disposer des droits « administrateur » sur son poste. Le pare-feu doit être actif sur le poste, même si l’entreprise dispose déjà d’un firewall en entrée.

L’utilisation de l’outil Microsoft App-Locker disponible depuis Windows 7 est recommandé pour interdire la lancement d’exécutables dans \windows\temp et user\..\appdata.  Il est possible également de réaliser une whitelist des fichiers EXE seuls autorisé à ce lancer.

La désactivation des macros dans Word est vivement recommandée également.

Il est important d’éduquer les utilisateurs afin qu’ils n’ouvrent pas les pièce jointes douteuses, ou dont ils ne connaissent par la provenance. Il est à noté toutefois qu’il existe aussi des attaques ciblées ou l’expéditeur du virus apparait comme faisant parti de l’effectif de l’entreprise et la pièce jointe, facture, réponds précisément à la nomenclature en vigueur dans l’entreprise.

Sous couvert de l’anonymat une entreprise disposant de 1400 boites aux lettres, indique avoir subit 12 000 attaques de type « locky » en seulement 7 jours, une société de service en informatique située dans l’ouest de la France à recensé en quelques jours, 12 sociétés victimes effectives de ce virus, avec perte de données.

Il n’existe pas de statistique  précise sur cette attaque dans la mesure ou les société impactées préfèrent garder le silence sur le sujet.

@cmoncoiffet

 

Laisser un commentaire

%d blogueurs aiment cette page :