Phenquestions
Verrouillage est le nom d'un Ransomware qui a évolué tardivement, grâce à la mise à jour constante de l'algorithme par ses auteurs. Locky, comme son nom l'indique, renomme tous les fichiers importants sur le PC infecté en leur donnant une extension .verrouillé et demande une rançon pour les clés de déchiffrement.
Ransomware Locky - Évolution
Les ransomwares ont connu une croissance alarmante en 2016. Il utilise le courrier électronique et l'ingénierie sociale pour entrer dans vos systèmes informatiques. La plupart des e-mails contenant des documents malveillants présentaient la souche populaire de ransomware Locky. Parmi les milliards de messages qui utilisaient des pièces jointes malveillantes, environ 97 % contenaient le ransomware Locky, soit une augmentation alarmante de 64 % par rapport au premier trimestre 2016, date de sa découverte.
le Ransomware Locky a été détecté pour la première fois en février 2016 et aurait été envoyé à un demi-million d'utilisateurs. Locky est devenu célèbre lorsqu'en février de cette année, le Hollywood Presbyterian Medical Center a payé une rançon de 17 000 $ en Bitcoin pour la clé de déchiffrement des données des patients. Locky a infecté les données de l'hôpital via une pièce jointe d'un e-mail déguisée en facture Microsoft Word.
Depuis février, Locky enchaîne ses extensions dans le but de tromper les victimes qu'elles ont été infectées par un autre Ransomware. Locky a commencé à renommer les fichiers cryptés en .verrouillé et au moment où l'été est arrivé, il est devenu le .zepto extension, qui a été utilisée dans plusieurs campagnes depuis.
Dernièrement entendu, Locky crypte maintenant les fichiers avec .ODIN extension, essayant de faire croire aux utilisateurs qu'il s'agit en fait du ransomware Odin.
Ransomware Locky
Le ransomware Locky se propage principalement via des campagnes de spams gérées par les attaquants. Ces e-mails de spam ont pour la plupart .fichiers doc en pièces jointes qui contiennent du texte brouillé semblant être des macros.
Un e-mail typique utilisé dans la distribution du ransomware Locky peut être une facture qui attire l'attention de la plupart des utilisateurs, par exemple,
L'objet de l'e-mail peut être - "ATTN : Facture P-12345678", pièce jointe infectée - "facture_P-12345678.doc« (contient des macros qui téléchargent et installent le ransomware Locky sur les ordinateurs) : »
Et corps de l'e-mail - "Cher quelqu'un, veuillez consulter la facture ci-jointe (document Microsoft Word) et effectuer le paiement selon les conditions énumérées au bas de la facture. Faites-nous savoir si vous avez des questions. Nous apprécions grandement votre entreprise!"
Une fois que l'utilisateur a activé les paramètres de macro dans le programme Word, un fichier exécutable qui est en fait le ransomware est téléchargé sur le PC. Par la suite, divers fichiers sur le PC de la victime sont cryptés par le ransomware en leur donnant des noms uniques de combinaison de 16 lettres et chiffres avec .merde, .thor, .verrouillé, .zepto ou alors .odin extensions de fichier. Tous les fichiers sont cryptés à l'aide du RSA-2048 et AES-1024 algorithmes et nécessitent une clé privée stockée sur les serveurs distants contrôlés par les cybercriminels pour le décryptage.
Une fois les fichiers cryptés, Locky génère un .SMS et _HELP_instructions.html fichier dans chaque dossier contenant les fichiers cryptés. Ce fichier texte contient un message (comme indiqué ci-dessous) qui informe les utilisateurs du cryptage.
Il indique en outre que les fichiers ne peuvent être décryptés qu'à l'aide d'un décrypteur développé par des cybercriminels et coûtant .5 BitCoin. Par conséquent, pour récupérer les fichiers, la victime est invitée à installer le navigateur Tor et à suivre un lien fourni dans les fichiers texte/fond d'écran. Le site Web contient des instructions pour effectuer le paiement.
Il n'y a aucune garantie que même après avoir effectué le paiement, les fichiers de la victime seront déchiffrés. Mais généralement, pour protéger sa « réputation », les auteurs de ransomwares respectent généralement leur part du marché.
Locky Ransomware changeant de .wsf à .Extension LNK
Affichez son évolution cette année en février ; Les infections par ransomware Locky ont progressivement diminué avec des détections moindres de Nemucod, que Locky utilise pour infecter les ordinateurs. (Nemucod est un .fichier wsf contenu dans .pièces jointes zip dans les courriers indésirables). Cependant, comme le rapporte Microsoft, les auteurs de Locky ont modifié la pièce jointe de .fichiers wsf à fichiers de raccourci (.LNK extension) qui contiennent des commandes PowerShell pour télécharger et exécuter Locky.
Un exemple de courrier indésirable ci-dessous montre qu'il est conçu pour attirer l'attention immédiate des utilisateurs. Il est envoyé avec une grande importance et avec des caractères aléatoires dans la ligne d'objet. Le corps de l'email est vide.
L'e-mail de spam se nomme généralement lorsque Bill arrive avec un .pièce jointe zip, qui contient le .Fichiers LNK. En ouvrant le .pièce jointe zip, les utilisateurs déclenchent la chaîne d'infection. Cette menace est détectée comme TrojanDownloader:PowerShell/Ploprol.UNE. Lorsque le script PowerShell s'exécute avec succès, il télécharge et exécute Locky dans un dossier temporaire complétant la chaîne d'infection.
Types de fichiers ciblés par Locky Ransomware
Voici les types de fichiers ciblés par le ransomware Locky.
.yuv, .ycbcra, .xe, .wpd, .Texas, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .autre, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .non, .nef, .ndd, .mon D, .mrw, .bien d'argent, .bonjour, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .banque, .hbk, .gris, .gris, .gris, .fhd, .ffd, .exf, .euh, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .jabot, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .la baie, .Banque, .base de données de sauvegarde, .sauvegarde, .dos, .awg, .apj, .ayez, .agdl, .les publicités, .adb, .acr, .tout, .accdt, .accdr, .accéder, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qvache, .qed, .pif, .pdb, .pb, .ost, .ogg, .nvram, .ndf, .m2ts, .Journal, .hpp, .disque dur, .groupes, .flvv, .edb, .dit, .dat, .cm, .poubelle, .aiff, .xlk, .liasse, .tlg, .dire, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .tapoter, .huile, .odc, .nsh, .NS g, .nsf, .nsd, .mois, .ind, .si, .fpx, .fff, .fdb, .dtd, .conception, .jjj, .dcr, .dac, .cdx, .cdf, .mélange, .bkp, .adp, .acte, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pc, .pcd, .fxg, .flac, .eps, .dxb, .dessiner, .point, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .sauvegarder, .sûr, .pwm, .pages, .obj, .mlb, .mbx, .allumé, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .jj, .csv, .css, .configuration, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .message, .mapimail, .jnt, .doc, .dbx, .contact, .milieu, .wma, .flv, .mkv, .déplacer, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .Floride, .swf, .wav, .qvache2, .vdi, .vmdk, .vmx, .portefeuille, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .la forge, .das, .d3dbsp, .bsa, .vélo, .actif, .apk, .gpg, .aes, .ARC, .PAQ, .le goudron.bz2, .tbk, .bak, .le goudron, .tgz, .rar, .Zip *: français, .dj, .djvu, .svg, .bmp, .png, .gif, .cru, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .chauve souris, .classer, .pot, .Java, .aspic, .brd, .sch, .dch, .tremper, .vb, .asm, .pas, .cpp, .php, .ldf, .forces de défense principale, .ibd, .MON JE, .MON D, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .TVP, .untoc2, .asc, .poser6, .allonger, .ms11 (copie de sécurité), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .bizarre, .ouais, .potx, .pot, .pptx, .pptm, .std, .sxd, .pot, .pp, .sti, .sxi, .otp, .odp, .semaines, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .différence, .stc, .sxc, .ots, .ods, .hwp, .point, .dotx, .docm, .docx, .POINT, .max, .xml, .SMS, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .bizarre, .DOC, .pem, .RSE, .crt, .ke.
Comment empêcher l'attaque Locky Ransomware
Locky est un virus dangereux qui représente une grave menace pour votre PC. Il est recommandé de suivre ces instructions pour éviter les ransomwares et éviter d'être infecté.
- Ayez toujours un logiciel anti-malware et un logiciel anti-ransomware protégeant votre PC et mettez-le à jour régulièrement.
- Mettez à jour votre système d'exploitation Windows et le reste de votre logiciel pour atténuer les éventuels exploits logiciels.
- Sauvegardez régulièrement vos fichiers importants. C'est une bonne option de les enregistrer hors ligne que sur un stockage en nuage, car le virus peut également y accéder
- Désactiver le chargement des macros dans les programmes Office. L'ouverture d'un fichier de document Word infecté peut s'avérer risquée!
- N'ouvrez pas aveuglément le courrier dans les sections "Spam" ou "Courrier indésirable". Cela pourrait vous inciter à ouvrir un e-mail contenant le malware. Réfléchissez avant de cliquer sur des liens Web sur des sites Web ou des e-mails ou de télécharger des pièces jointes à des e-mails provenant d'expéditeurs que vous ne connaissez pas. Ne cliquez pas et n'ouvrez pas ces pièces jointes :
- Fichiers avec .Extension LNK
- Fichiers avec.extension wsf
- Fichiers avec extension double point (par exemple, profile-p29d… wsf).
Lis: Que faire après une attaque Ransomware sur votre ordinateur Windows?
Comment décrypter Locky Ransomware
Pour l'instant, aucun décrypteur n'est disponible pour le ransomware Locky. Cependant, un décrypteur d'Emsisoft peut être utilisé pour décrypter les fichiers cryptés par Verrouillage automatique, un autre ransomware qui renomme également les fichiers en .extension verrouillable. AutoLocky utilise le langage de script AutoI et essaie d'imiter le ransomware Locky complexe et sophistiqué. Vous pouvez voir la liste complète des outils de décryptage de ransomware disponibles ici.
Sources & Crédits: Microsoft | BleepingOrdinateur | PCRisque.
