(3 vote(s), 
Loading...Locky est un cryptomalware, il va chiffrer vos données et vous demander de l'argent en échange du processus inverse. Ce ransomware qui circule sur la toile depuis quelques semaines.
Ce n'est pas le premier ni le dernier et il ne faut pas négliger ces malware qui s'installent partout où ils le peuvent : disque local, disque réseau, clé USB... L'ANSSI a publié une page très utile sur son fonctionnement.
Attention : Locky ne se propage pas uniquement sur les lecteurs réseau mappés, il va parcourir tout le réseau pour se pourrir tous les partages. Locky supprime également tous les points de resauration de Windows (voir ici) en lançant cette commande depuis une macro :
vssadmin Delete Shadows /All /Quiet
Get Locky
C'est avec un email contenant une PJ (document Word) avec une macro que tout commence. L'email a pour sujet "ATTN: Invoice J-<8 chiffres>" et la pièce jointe pour nom "invoice_J-<8 mêmes chiffres>".
Locky se fait aussi passer pour Free Mobile. Voici la version piégée :
Veuillez trouver en piece jointe votre facture mobile du 01-02-2016, d'un montant de 19.99E.
Alors qu'une vraie version contient le numéro de ligne et un vrai signe "€" :
Veuillez trouver en pièce jointe votre facture mobile du 22-02-2016, d'un montant de 19.99€ pour la ligne 06 12 34 56 78.
J'en profite pour jeter la pierre à Free Mobile qui devrait systématiquement faire commencer ses emails par "Prénom Nom" au lieu de "Cher(e) abonné(e)".
S'en protéger
Vous pouvez donc blacklister tous les emails contenant cet objet ou cette PJ dans votre passerelle de filtrage email.
Si vous n'en avez pas alors... vous feriez mieux d'y remédier pour protéger votre entreprise. Pensez aussi à bloquer les extensions en *.locky sur vos serveurs de fichiers, en exploitant le log afin d'identifier les machines infectées.
Parfois un antivirus détectera le cryptomalware, parfois non... et le temps que les bases soient à jour peut être suffisant pour contaminer quelques machines.
Une volonté de sécurité
La sécurité informatique n'a rien de binaire, vous devez choisir sur quel niveau vous vous positionnez.
Quelques rappels pour assurer un minimum de sécurité en entreprise (dès 20 personnes) :
- politique de flux contrôlés sur vos passerelles (aucune sortie en direct)
- revue régulière des droits sur les partages de fichiers
- revue régulière des membres du groupe "admins du domaine" : AUCUNE personne étrangère à l'équipe s'occupant des serveurs ne doit y figurer. Aucune exception : pas de VIP, pas de manager, etc.
- filtrage web via proxy (basé sur des listes comme celle de toulouse pour squid)
- antivirus centralisé via une console sur la totalité de votre parc (pas un truc gratuit en mode standalone comme avast, avira...)
- droits non admin sur les postes des utilisateur (empêche l'installation de logiciels contenant des crapware)
- charte informatique signée par chaque utilisateur pour le responsabiliser sur l'outil informatique et les risques inhérents, la sécurité c'est l'affaire de tous
Les ransomware sont une calamité car ils se déclenchent parfois aléatoirement, après une période de sommeil. Vous vous rendrez compte des dégâts parfois plusieurs mois après et toute votre chaîne de sauvegarde sera déjà contaminée. Voilà pourquoi je vous conseille de sortir régulièrement quelques bandes pour les rendre hors de portée du cryptomalware.
Il faut également surveiller l'activité de vos serveurs de fichiers et équipements, une activité forte en pleine nuit venant d'un poste utilisateur n'a rien de normal.
N'hésitez pas à témoigner si vous avez déjà été victime de Locky, chez vous où en entreprise.
Bulletin CERT-FR de l'ANSSI
14 commentaires
Pour limiter les risques sur un serveur Windows, c'est d'utiliser le gestionnaire de ressources de fichiers.
Avec une liste de fichiers Ransomware connus, le gestionnaire de ressources de fichiers bloquera l'accès au serveur et enverra un mail à l'administrateur.
Plus d'informations ici :
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/
(c'est en Allemand)
ou ici :
https://www.reddit.com/r/sysadmin/comments/46361k/list_of_ransomware_extensions_and_known_ransom/
Bon courage à ceux à qui s'arrive ... j'ai eu ce problème, mais l'antivirus Norton l'a arrêté en 15 secondes, mais il y a eu quand même 300 fichiers de cryptés ......
@jisuren: Merci pour ces liens, j'ajoute un complément en anglais http://jpelectron.com/sample/Info%20and%20Documents/Stop%20crypto%20badware%20before%20it%20ruins%20your%20day/1-PreventCrypto-Readme.htm
Nous l'avons eu au travail.
Sophos n'a rien vu. Il est arrivé par mail, intitulé "Banque" avec un .zip et non un Word.
Ce qui a été efficace? La politique de gestion de droits.
Seuls les fichiers utilisateurs du clickeur fou et les dossiers communs ont été corrompus.
En dégât collatéral, quelques partages oubliés/mal configurés.
Ensuite, les backups ont permis de restaurer les dossiers perdus.
Bilan :
- Une journée de travail perdue
- Environ deux autres journées en mode dégradé pendant laquelle les données était restaurées.
Pas trop méchant au final même si cela a montré certains défauts de ci, de là.
Maintenant, l'après :
- renforcement du cloisonnement des droits d'accès.
- changement du système de backup qui est mal foutu pour une restauration "de masse". On a perdu pas mal de temps là dessus...
- formation des gens métier par petit groupe à la sécurité. Les mails d'infos et les chartes sont inutiles, les gens les oublient deux jours plus tard. Il faut profiter du fait qu'ils ont perdus une journée pour qu'ils comprennent "oui, ça peut péter".
- On réfléchit à supprimer le groupe d'admin du domaine. Même les admins peuvent cliquer sans faire attention, (parcequ'ils sont au téléphone, ...), ou se faire avoir d'une quelconque façon. En partant du principe que l'on a pas besoin des droits d'administration à temps plein, il est moins dangereux d'être utilisateur 98% du temps et d'utiliser un compte dédié les 2% du temps nécessaires. Un équivalent du sudo linux en somme.
Au final, il faut voir l'attaque du ransomware comme un test grandeur nature et en tirer le maximum d'apprentissage.
Idem chez nous. C'est notre RH qui a ouvert un mail "Scanned document" avec son Outlook et ... bin dommage quoi.
Les dossiers partagés sensibles avec mot de passe n'ont pas été touchés mais pour tout le reste, c'était foutu.
Mon backup sur disque externe a permis de tout restaurer rapidement.
Bilan :
- l'antivirus n'a rien vu
- le scan du réseau et le chiffrage des fichiers ont été très rapide (250Go en moins de 2 minutes)
Conséquences :
- si le backup automatique s'était déclenché au moment du chiffrage, la synchro se serait faite sur les fichiers chiffrés, j'aurais potentiellement tout perdu. Du coup, on va utiliser 2 disques externes, l'un pour les jours pairs et le 2nd pour les jours impairs.
- réaliser un système de détection qui couperait les partages en cas d'attaque. Pas évident au vu de la rapidité du chiffrage. Peut être tester en permanence l'intégrité d'un fichier Word situé à la racine d'un dossier partage commun !? Je cherche encore.
- bloquer les mails contenant certains fichiers (doc, docx, zip, vbs, etc.) avec retour à l'envoyeur pour les informer.
- en remettre une couche sur la sécurité auprès des équipes (même si là, ils ont bien compris).
Bref, on s'imagine bien protégé, que tout est réglé "au poil près" au niveau du réseau et des droits, et puis en fait, non !
J'avoue que ma fierté en a pris un coup 🙂
Mais cela permet de progresser et de ne pas rester sur ses acquis, surtout en manière de sécurité.
@Wonsul: supprimer le groupe est un peu violent, mais créer des comptes spéciaux pour éviter que l'équipe IT ne soit en permanence admin du domaine, c'est déjà bien. De même que l'équipe IT ne doit pas avoir les droits sur tous les partages, car c'est là aussi très dangereux.
@Eric: merci pour ce retour. Tu peux bloquer les fichiers office contenant des macros (js, exe, etc). Le plus important est d'avoir des logs pour identifier les machines infectées et agir vite.
Et faire des vrais sauvegardes ça vous branche pas ? C'est pratique pourtant comme ça le gars tu lui dis « ben écoute si te me paie je veux bien te payer » ou bien tu rigole un bon coup et tu restaures.
Il y a des admins ici ?
Sinon installez vous un vrai OS qui prend pas les virus donc pas windows et pas mac. GNU/LInux is the way! Mais bon faites des sauvegardes quand même' c'est mieux.
@Mr Xhark:
Pour la suppression, c'était une idée un peu à chaud. La création de comptes spéciaux est en effet une bonne alternative.
Pour les partages, l'IT n'a pas les droits sur tout, mais elle a souvent les droits là où ça peut faire mal.
@Eric:
Vu que tu utilises un disque externe pour le backup, j'imagine que tu es dans une TPE/PME.
Je ne sais pas quel budget tu as mais mais il existe des appliances pour le backup. Sans vouloir mettre de marques, je pense que pour 250Go, ça ne doit pas coûter trop cher. Ça te permettrai de mettre en place un système de sauvegarde plus poussé. Et tu pourrais garder tes disques pour l'externalisation.
@ouéoué:
Dire "Il y a des admins ici?" sans connaitre l'environnement de l'entreprise (manque de budget, existant,...) est assez présomptueux.
Et je ne pense pas qu'à partir du moment où tu as un linux, tu es protégé. Comme dit dans l'article, la sécurité informatique n'a rien de binaire. La configuration est importante, la réactivité aussi l'amélioration continue.
Je ne souhaite pas partir dans une guerre linux/windows, mais bien appuyer sur le fait qu'il n'y ai pas de solution miracle.
Ce genre d'évènement permet de s'améliorer et d'améliorer la sécurité de nos SI.
@ouéoué: oui il y a des admins ici 🙂
Je trollerais pas sur ta remarque de "vrai OS".
Notre parc est composé à moitié de Ubuntu et de Windows.
Et d'ailleurs je réfléchis à tout migrer sous Windows.
Pourquoi ? parce que les logiciels "metiers" utilisés en RH, comptabilité et marketing n'existent pas sous Linux. Et qu'il devient compliqué de maintenir 2 OS au sein de l'entreprise.
@Mr Xhark: tout à fait, je fais maintenant attention lors de l'install d'Office sur des nouveaux PC. Et oui, au moment de l'infection, j'ai remarqué que l'ensemble des fichiers avait changé de proprietaire pour prendre celui du poste infecté ! Pratique pour retrouver le fautif 🙂
C'est là que je suis content d'avoir nos mails chez google.
Ils regardent partout dans tes mails mais au moins ils bloquent les trucs pas cool. Enfin j’espère.
@Wonsul: don't feed the troll 🙂
On sait très bien que Microsoft est visé car c'est l'OS le plus répandu en desktop. On voit très bien aujourd'hui qu'Android est aussi victime de nombreuses applications malveillantes, et pourtant ça tourne avec un kernel Linux ^^ D'ailleurs il peut être contreproductif de ne pas avoir un environnement microsoft sur la partie serveur, car tout cet éco-système est fait pour fonctionner ensemble. On peut très bien remplacer un partage par du SMB3, ou un SAN/NAS Synology, NetApp, EMC, etc... mais question logs ce n'est pas forcément aussi intuitif, particulièrement sur la gestion ACL. Mais inutile de faire plus de hors sujet, dire que GNU/Linux est "protégé" n'a pas de sens, et synoLocker nous a montré que les ransomware visaient les systèmes les plus répandus.
Complètement d'accord avec toi, ce genre d'évènement montre que la sécurité informatique n'est pas qu'un concept ou un discours tenu par les geeks du sous-sol qui gèrent les serveurs (référence it-crowd inside)
@Eric: avoir un parc hétérogène complique son administration et sa gestion, mais les postes sous GNU/Linux sont généralement utilisés par des utilisateurs avertis et autonomes quand ils cohabitent avec du Windows majoritaire.
@Nym: Google fonctionne de façon collaborative, avec le nombre d'emails reçus chaque jour ils sont capable de détecter et arrêter les attaques de masses, ce qui est quasi impossible quand tu gères ta propres infra de messagerie. Mais il y a encore quelques saloperies qui passent à travers, je le constate de temps en temps. Si les utilisateurs utilisent uniquement le webmail cela réduit fortement les risques grâce à l'aperçu PDF intégré, mais au premier téléchargement c'est plié. D'où la nécessité d'avoir un antivirus reconnu sur les postes. A noter que les techniques de sandboxing (dans le cloud) sont aussi très intéressantes car elles permettent d'ouvrir un email sur des machines virtuelles très rapidement en analysant toutes les modifications du systèmes avant/après pour créer un compte rendu détaillé. Avec en cas de doute le retardement de délivrance qui permet de détecter une attaque massive quand on fait partie des premières cibles. Revers de tout ça : les emails circulent sur le cloud et niveau vie privée / confidentialité pas fan du tout.
Aie aie .... des dégâts chez nous ?
@dranreb38: nop
bitdefender à sorti un petit logiciel pour protéger de locky,ctb-locker et teslaCryte "bitdefender anti ransmware"
si cela peut aider ...
je l'ai en exécution et il prend 0.3% de mes 8go de mémoire ,rien en réseau,disque et processeurs !
@swapof: oui j'utilise ce soft depuis quelques mois, au cas où... mais si un logiciel pouvait arrêter à coup sûr un cryptomalware tous les éditeurs le vendraient 🙂 disons que c'est plus pour se rassurer au cas où 🙂