Locky : le ransomware qui fait rage en France et aux États-Unis

par Stephane
VIRUS lucky

Le rançongiciel Locky existe depuis à peine un mois pourtant, chaque jour, il fait de nouvelles victimes parmi lesquelles des organisations et sociétés prestigieuses. Voici les informations dont nous disposons.

Locky : présentation et mode de propagation

Le logiciel malveillant Locky est catégorisé Ransomware. Il a ainsi été créé dans le but d’obtenir une rançon d’un utilisateur désarmé face au blocage de ses fichiers. Comme de nombreux spécialistes l’affirment, l’apparition du ransomware date du mois de février 2016. Il est fort probable que celui-ci soit une création des hackers ayant été à la source du non moins connu Dridex.

Locky n’a rien de commun avec ses pairs que son mode de diffusion (par mail) et sa catégorie (ransomware). Comme la majorité des rançongiciels, il est libéré lorsque l’utilisateur tente d’ouvrir la pièce jointe dans laquelle il se trouve. Le sujet et le contenu du mail peut nous convaincre d’ouvrir la pièce jointe, il s’agit souvent d’allusion à des commandes ou  des factures impayées. La rédaction est  correcte et le message semble souvent provenir d’une entreprise avec laquelle on est lié.  La pièce jointe  au mail est le plus souvent au format Office ou ZIP.

Locky : les effets

La libération du ransomware déclenche le chiffrement des fichiers selon leur extension et l’affichage dans le bloc note d’une demande de rançon. Cette libération engendre également le remplacement du fond d’écran de Windows par un autre contenant la même demande. La conséquence la plus grave est la suppression de toutes les sauvegardes internes Windows via le Volume Snapshot Service et toute tentative d’y remédier est inefficace. On se demande alors comment les pirates à l’origine de ce logiciel comptent se faire payer. Ils ont préparé minutieusement leur coup car dans ce message, existent des liens redirigeant vers une page relative au paiement des rançons par Bitcoins. Ceux-ci vont de 0,5 à 1 Bitcoin, soit 200 à 400 euros. Après paiement, un déchiffreur nommé Locky Decryptor PRO sera attribué à la victime. Rien n’indique cependant qu’il sera capable de tout remettre en ordre.

Après Dridex en 2015, les entreprises françaises devront faire face en 2016 à un « successeur » aussi redoutable : Locky. Par ailleurs, certaines ont pu déjà mesurer l’ampleur de la menace, à l’image de Free qui reste impuissant face à la série d’attaques touchant ses abonnés.

Comment éviter cette menace ?

Oktey, éditeur de solutions de sécurisations de la messagerie, a intégré au sein de sa forteresse antivirus Altospam un puissant moteur de détection automatique de fichiers suspects. Elle incorpore par ailleurs un système d’analyse en temps réel des macros contenues dans les fichiers Microsoft Office. Elle constitue donc une meilleure défense contre Locky.

Nos clients nous demandent ces jours derniers si Altospam est suffisamment armé pour bloquer Locky. Nous pensons que oui.

Voici en quelques mots la synthèse des barrières mises en place au sein d’Altospam pour bloquer Locky : 5 antivirus complémentaires, analyse à la volée des macros Office, détection des fichiers suspects, vérification des signatures des fichiers zip et de celles des fichiers suspects auprès de 57 antivirus, blocage des fichiers compressés contenant des fichiers .js (notamment) et analyse par les technologies anti-spams intégrées.

Toujours est-il que, malgré toutes ces technologies, nous sommes continuellement en recherche d’améliorations et en permanence dans l’analyse de notre trafic afin de veiller aux nouvelles menaces et d’y remédier au plus tôt. Dans tous les cas, toutes les mesures sont prises pour bloquer ces virus polymorphes.

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …