(modifié le 10 mars 2016 à 13:28)

Locky est un cryptomalware, il va chiffrer vos données et vous demander de l'argent en échange du processus inverse. Ce  ransomware qui circule sur la toile depuis quelques semaines.

locky

Ce n'est pas le premier ni le dernier et il ne faut pas négliger ces malware qui s'installent partout où ils le peuvent : disque local, disque réseau, clé USB... L'ANSSI a publié une page très utile sur son fonctionnement.

Attention : Locky ne se propage pas uniquement sur les lecteurs réseau mappés, il va parcourir tout le réseau pour se pourrir tous les partages. Locky supprime également tous les points de resauration de Windows (voir ici) en lançant cette commande depuis une macro :

Get Locky

C'est avec un email contenant une PJ (document Word) avec une macro que tout commence. L'email a pour sujet "ATTN: Invoice J-<8 chiffres>" et la pièce jointe pour nom "invoice_J-<8 mêmes chiffres>".

Locky se fait aussi passer pour Free Mobile. Voici la version piégée :

Veuillez trouver en piece jointe votre facture mobile du 01-02-2016, d'un montant de 19.99E.

Alors qu'une vraie version contient le numéro de ligne et un vrai signe "€" :

Veuillez trouver en pièce jointe votre facture mobile du 22-02-2016, d'un montant de 19.99€ pour la ligne 06 12 34 56 78.

J'en profite pour jeter la pierre à Free Mobile qui devrait systématiquement faire commencer ses emails par "Prénom Nom" au lieu de "Cher(e) abonné(e)".

S'en protéger

Vous pouvez donc blacklister tous les emails contenant cet objet ou cette PJ dans votre passerelle de filtrage email.

Si vous n'en avez pas alors... vous feriez mieux d'y remédier pour protéger votre entreprise. Pensez aussi à bloquer les extensions en *.locky sur vos serveurs de fichiers, en exploitant le log afin d'identifier les machines infectées.

Parfois un antivirus détectera le cryptomalware, parfois non... et le temps que les bases soient à jour peut être suffisant pour contaminer quelques machines.

Une volonté de sécurité

La sécurité informatique n'a rien de binaire, vous devez choisir sur quel niveau vous vous positionnez.

Quelques rappels pour assurer un minimum de sécurité en entreprise (dès 20 personnes) :

  • politique de flux contrôlés sur vos passerelles (aucune sortie en direct)
  • revue régulière des droits sur les partages de fichiers
  • revue régulière des membres du groupe "admins du domaine" : AUCUNE personne étrangère à l'équipe s'occupant des serveurs ne doit y figurer. Aucune exception : pas de VIP, pas de manager, etc.
  • filtrage web via proxy (basé sur des listes comme celle de toulouse pour squid)
  • antivirus centralisé via une console sur la totalité de votre parc (pas un truc gratuit en mode standalone comme avast, avira...)
  • droits non admin sur les postes des utilisateur (empêche l'installation de logiciels contenant des crapware)
  • charte informatique signée par chaque utilisateur pour le responsabiliser sur l'outil informatique et les risques inhérents, la sécurité c'est l'affaire de tous

Les ransomware sont une calamité car ils se déclenchent parfois aléatoirement, après une période de sommeil. Vous vous rendrez compte des dégâts parfois plusieurs mois après et toute votre chaîne de sauvegarde sera déjà contaminée. Voilà pourquoi je vous conseille de sortir régulièrement quelques bandes pour les rendre hors de portée du cryptomalware.

Il faut également surveiller l'activité de vos serveurs de fichiers et équipements, une activité forte en pleine nuit venant d'un poste utilisateur n'a rien de normal.

N'hésitez pas à témoigner si vous avez déjà été victime de Locky, chez vous où en entreprise.

Bulletin CERT-FR de l'ANSSI

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter