Qu’est-ce que Locky ?

Locky est ce qu’on appelle un ransomware, c’est-à-dire un malware (pour Windows) qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données. Apparu en février 2016, Locky serait l’œuvre des mêmes personnes qui ont lâché le ransomware Dridex en 2015. Locky se répand actuellement comme une trainée de poudre dans toute l’Europe. Attention, il évolue chaque semaine en utilisant de nouvelles méthodes de propagation. Il n’est pas détecté comme un virus !

Comment Locky se propage-t-il ?

Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir « ATTN: Invoice J-XXXXXXX ». Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format « invoice_J-XXXXXX.doc ».

Plusieurs langues sont utilisées, pas uniquement l’anglais.

Quant au nom de l’expéditeur, ce n’est jamais le même. Cela peut être un contact de la dernière personne vérolée en chemin.

locky-email-message

 

Le fichier Word (.doc) attaché contient un texte étrange qui indique d’activer les macros pour pouvoir le lire. Si les macros sont activées, le texte ne sera pas réellement déchiffré. Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l’ordinateur.

Quels sont les dégâts qu’il engendre ?

À partir de là, le ransomware commence à chiffrer les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l’argent.

 

locky_renamed

 

Voici les fichiers qui sont chiffrés et dont l’extension est changée en .locky (d’où le nom du malware…) :

.m4u | .m3u | .mid | .wma | .flv | .3g2 | .mkv | .3gp | .mp4 | .mov | .avi | .asf | .mpeg | .vob | .mpg | .wmv | .fla | .swf | .wav | .mp3 | .qcow2 | .vdi | .vmdk | .vmx | .gpg | .aes | .ARC | .PAQ | .tar.bz2 | .tbk | .bak | .tar | .tgz | .gz | .7z | .rar | .zip | .djv | .djvu | .svg | .bmp | .png | .gif | .raw | .cgm | .jpeg | .jpg | .tif | .tiff | .NEF | .psd | .cmd | .bat | .sh | .class | .jar | .java | .rb | .asp | .cs | .brd | .sch | .dch | .dip | .pl | .vbs | .vb | .js | .asm | .pas | .cpp | .php | .ldf | .mdf | .ibd | .MYI | .MYD | .frm | .odb | .dbf | .db | .mdb | .sql | .SQLITEDB | .SQLITE3 | .asc | .lay6 | .lay | .ms11 (Security copy) | .ms11 | .sldm | .sldx | .ppsm | .ppsx | .ppam | .docb | .mml | .sxm | .otg | .odg | .uop | .potx | .potm | .pptx | .pptm | .std | .sxd | .pot | .pps | .sti | .sxi | .otp | .odp | .wb2 | .123 | .wks | .wk1 | .xltx | .xltm | .xlsx | .xlsm | .xlsb | .slk | .xlw | .xlt | .xlm | .xlc | .dif | .stc | .sxc | .ots | .ods | .hwp | .602 | .dotm | .dotx | .docm | .docx | .DOT | .3dm | .max | .3ds | .xml | .txt | .CSV | .uot | .RTF | .pdf | .XLS | .PPT | .stw | .sxw | .ott | .odt | .DOC | .pem | .p12 | .csr | .crt | .key

 

Le fond d’écran de Windows est lui aussi remplacé, affichant la même demande.

Enfin, si la victime visite l’un des liens (HTTP classique ou .onion sur Tor) indiqué dans le message, elle tombera sur une page lui indiquant comment acheter puis payer avec des Bitcoins la modique somme de 0,5 BTC (200 € environ) à 1 BTC (400 € environ) pour obtenir un « déchiffreur » baptisé Locky Decryptor PRO. Déchiffreur dont l’efficacité n’a pas été prouvée.

Là où ça pose de vrais problèmes, notamment dans les entreprises, c’est au niveau des disques réseaux partagés. Locky chiffre aussi tout ce qui l’intéresse sur ces partages réseau. Il est donc nécessaire d’être extrêmement vigilent !

Comment se protéger contre Locky ?

Il n’y a pas 36 000 façons de se protéger de ce genre de choses. Tout d’abord c’est un problème entre la chaise et le clavier. À savoir acquérir le réflexe de ne JAMAIS ouvrir une pièce jointe envoyé par mail, et ayant une extension et une provenance douteuse. Même si vous reconnaissez l’adresse de l’expéditeur, soyez tout aussi méfiant car cela peut très bien être usurpé.

Il est recommandé d’avoir un vrai antivirus en place (les antivirus gratuits sont peu efficaces). Malheureusement Locky n’est pas détecté par les antivirus, du moins à l’heure actuelle. L’antivirus n’est donc pas une solution miracle, il faut être vigilant sur ce que vous ouvrez sur votre ordinateur.

Faites régulièrement les mises à jour de votre système d’exploitation et de vos outils. N’activez jamais les macros dans vos outils bureautiques sauf si vous savez ce que vous faites. Au pire, en cas de doute et de nécessité absolue d’ouvrir une pièce jointe, passez plutôt par une simple visionneuse de document pour ouvrir vos pièces jointes plutôt qu’un Word ou un Excel.

Ensuite, concernant les partages réseau, passez en revue les droits d’accès et placez les données importantes en sécurité, il est important d’utiliser au minimum des droits administrateurs.

Et le meilleur conseil, faites des sauvegardes ! Une simple copie accessible en permanence par votre PC n’étant pas une sauvegarde. Ainsi en cas d’infection, vous pourrez toujours récupérer vos données.

Comment savoir si vous êtes infecté par Locky ?

Locky modifie la base de registre:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
  • HKCU\Software\Locky\id
  • HKCU\Software\Locky\pubkey
  • HKCU\Software\Locky\paytext

…ou les fichiers suivants sont visibles sur votre poste:

  • C:\Users\(username)\AppData\Local\Temp\ladybi.exe
  • C:\Users\(username)\Documents\_Locky_recover_instructions.txt

Comment s’en débarrasser ?

Maintenant si vous êtes infecté par ce malware, contrairement à ce que conseille le FBI : Ne payez pas la rançon. Vous allez perdre de l’argent et vous ne reverrez pas plus vos données, car rien n’indique que le déchiffreur en question soit efficace. De plus, payer c’est encourager les cybercriminels à continuer ce genre d’opérations de chantage.

Il est nécessaire de nettoyer le poste de tous les éléments concernant Locky ou de prévoir une réinstallation complète du poste.

Sources: korben.info, fortinet.com, nakedsecurity, …