Et revoilà Locky... en pleine forme...

Pfff… c’est d’un lourd…

Je n’avais pas reçu la fameuse pièce jointe depuis le 5 avril dernier, la revoilà dans ma messagerie ce jour, mardi 31 mai 2016, à 13h48, pour la huitième fois depuis le 1er mars 2016.

Et comme d’habitude, il aura fallu attendre un peu pour être informé en français de cette nouvelle campagne de spams débutée le 22 mai 2016.


Extrait du code source :

X-Originating-IP: [103.248.32.162]

From: =?UTF-8?B?S2F0aW5hIERpbm5pcw==?= 

 <DinnisKatina5425@specialops.co.nz>
To: 
Subject: =?UTF-8?B?TmV3IE1lc3NhZ2UgZnJvbSB5b3VyIGJhbmsgbWFuYWdlcg==?=
Date: Tue, 31 May 2016 04:48:28 -0700
Reply-To:
MIME-Version: 1.0
Content-Type: multipart/mixed;
 boundary="----=_NexPart_002"

------=_NexPart_002
Content-Type: multipart/alternative;
 boundary="----=_NexPart_000"

------=_NexPart_000
Content-Type: text/plain;
 charset=utf-8
Content-Transfer-Encoding: base64

WW91IGhhdmUgMSBuZXcgbWVzc2FnZSBmcm9tIGJhbmsgbWFuYWdlci4gVG8gcmVhZCBpd

CwgcGxlYXNlIG9wZW4gdGhlIGF0dGFjaG1lbnQgZG93biBiZWxvdy4=

------=_NexPart_000
Content-Type: text/html;
 charset=utf-8
Content-Transfer-Encoding: base64

PCFET0NUWVBFIGh0bWwgUFVCTElDICItLy9XM0MvL0RURCBYSFRNTCAxLjAgVHJhbnNpdGl

vbmFsLy9FTiIgImh0dHA6Ly93d3cudzMub3JnL1RSL3hodG1sMS9EVEQveGh0bWwxLXRyYW

5zaXRpb25hbC5kdGQiPg0KPGh0bWwgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzE5OTkve

Gh0bWwiPg0KDQo8aGVhZD4NCjxtZXRhIGNvbnRlbnQ9InRleHQvaHRtbDsgY2hhcnNldD11

dGYtOCIgaHR0cC1lcXVpdj0iQ29udGVudC1UeXBlIiAvPg0KPHRpdGxlPiBOZXcgTWVzc2F

nZSBmcm9tIHlvdXIgYmFuayBtYW5hZ2VyIDwvdGl0bGU+DQo8L2hlYWQ+DQoNCjxib2R5Pg

0KWW91IGhhdmUgMSBuZXcgbWVzc2FnZSBmcm9tIGJhbmsgbWFuYWdlci4gPC9icj4NClRvI

HJlYWQgaXQsIHBsZWFzZSBvcGVuIHRoZSBhdHRhY2htZW50IGRvd24gYmVsb3cuDQo8L2Jv

ZHk+DQo8L2h0bWw+

------=_NexPart_000--

------=_NexPart_002
Content-Type: application/zip;
 name="operation_53054156.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
 filename="operation_53054156.zip"

Le message est le suivant :


New Message from your bank manager

You have 1 new message from bank manager.
To read it, please open the attachment down below.


Provenance :

IP-Adresse:		103.248.32.162
Provider:		Realtel Network Services Pvt

Pays : Inde



http://www.welivesecurity.com/2016/05/26/malware-hits-europe-ransomware-locky/

Another malware wave hits Europe, mainly downloading Locky ransomware

By Ondrej Kubovič posted 26 May 2016 – 05:30PM

Malware

ESET LiveGrid® telemetry shows a spike in detections of the JS/Danger.ScriptAttachment malware in several European countries. The most notable detection rates are seen in Luxembourg (67%), Czech Republic (60%), Austria (57%), Netherlands (54%) and the UK (51%), but also in other European states.

After arriving as an email attachment, the threat behind these detections is designed to download and install different variants of malware to victims’ machines.

If the user falls for the scam, JS/Danger.ScriptAttachment tries to download other malicious code, the majority of which consists of various crypto-ransomware families such as Locky. A detailed description of how Locky operates is available in a separate analysis.

JS/Danger.ScriptAttachment has the same intentions as the Nemucod downloader, which hit the internet globally in several waves. ESET warned the public of the threat in late December, 2015, and again in March, 2016.

ESET considers ransomware one of the most dangerous cyberthreats at present, a fact that seems unlikely to change in the foreseeable future. Therefore, we recommend both private and corporate internet users keep their computers and software up to date, use reliable security software and regularly backup their valuable data.

Prevalence of the JS/Danger.Script.Attachment downloader in Europe



The detection ratios span from 67% (Luxembourg) to under 1% (Belarus, Ukraine)
Prevalence levels:

• Luxembourg: 67%
• Austria: 57%
• Netherlands: 54%
• Germany: 48%
• Denmark: 48%
• Sweden: 46%
• Belgium: 45 %
• Spain: 42%
• Finland: 42%
• Norway: 40%
• France: 36%
• Portugal: 30%
• Poland: 26%

Malware prevalence levels in Europe 



The scale spans from 11.3% (Luxembourg) to 3.2% (Finland)


http://www.csoonline.com/article/3075728/security/new-javascript-spam-wave-distributes-locky-ransomware.html

New JavaScript spam wave distributes Locky ransomware

European countries are the most affected, but detections have also been recorded in the U.S. and Canada

By Lucian Constantin
IDG News Service | May 27, 2016 7:59 AM PT

Over the past week, computers throughout Europe and other places have been hit by a massive email spam campaign carrying malicious JavaScript attachments that install the Locky ransomware program.

Antivirus firm ESET has observed a spike in detections of JS/Danger.ScriptAttachment, a malware downloader written in JavaScript that started on May 22 and peaked on May 25.

ALSO: How to respond to ransomware threats

 

 

Many countries in Europe have been affected, with the highest detection rates being observed in Luxembourg (67 percent), the Czech Republic (60 percent), Austria (57 percent), the Netherlands (54 percent) and the U.K. (51 percent). The company’s telemetry data also showed significant detection rates for this threat in Canada and the U.S.

JS/Danger.ScriptAttachment can download various malware programs, but recently it has been used to primarily distribute Locky, a widespread, malicious program that uses strong encryption to hold users’ files hostage.

While Locky doesn’t have any known flaws that would allow users to decrypt their files for free, security researchers from Bitdefender have developed a free tool that can prevent Locky infections in the first place. The tool makes the computer appear as if it’s already infected by Locky by adding certain harmless flags, which tricks the malware into skipping it.

The use of JavaScript-based attachments to distribute Locky began earlier this year, prompting Microsoft to post an alert about it in April.

The attachments are usually .zip archive files that contain .js or .jse files inside. These files with will execute directly on Windows without the need of additional applications.

However, it is very uncommon for people to send legitimate applications written in JavaScript via email, so users should avoid opening this kind of files.

Lucian Constantin — Romania Correspondent

http://www.lemondeinformatique.fr/actualites/lire-un-vague-massive-de-spams-javascript-distribue-le-ransomware-locky-64963.html

Le 27 Mai 2016

Un vague massive de spams JavaScript distribue le ransomware Locky

La France est moins touchée que le Luxembourg ou l’Angleterre par cette vague de spams portant Locky. (cliquer sur l’image pour l’agrandir)

Les pays européens sont aujourd’hui victimes d’une vague de spams essayant d’exécuter un code JavaScript installant le redoutable ransomware Locky.

Au cours de la semaine écoulée, un grand nombre d’ordinateurs à travers l’Europe – et d’autres endroits dans le monde dont les Etats-Unis et le Canada – ont été touchés par une campagne massive de spams transportant des pièces jointes JavaScript malveillantes qui installent le ransomware Locky. Les pièces jointes sont généralement des fichiers d’archives .zip qui contiennent .js ou fichiers .jse intérieur. Ces fichiers s’exécutent directement sous Windows sans avoir besoin d’applications supplémentaires.

L’éditeur spécialisé dans la sécurité ESET a observé un pic dans les détections de JS / Danger.ScriptAttachment, un téléchargeur malware écrit en JavaScript qui a démarré le 22 mai et a atteint son sommet le 25 mai. JS / Danger.ScriptAttachment permet de télécharger divers programmes malveillants à l’insu des internautes, mais il a récemment été adapté pour distribuer Locky, un programme malveillant répandu qui utilise un chiffrement fort pour crypter les fichiers des utilisateurs. Cependant, il est très rare que des gens envoient des applications légitimes écrites en JavaScript par email. Les utilisateurs devraient éviter d’ouvrir ce type de fichiers.

La France touchée à 36%

De nombreux pays en Europe ont été touchés. Les taux de détection les plus élevés ont été observés au Luxembourg (67%), en République tchèque (60%), en Autriche (57%), aux Pays-Bas (54%), au Royaume Unie (51%) et en France 36%. Les données de télémétrie de l’éditeur ont également montré des taux de détection importants pour cette menace au Canada et aux États-Unis. Bien que Locky n’a pas de défauts connus qui permettraient aux utilisateurs de déchiffrer leurs fichiers gratuitement, les chercheurs en sécurité de Bitdefender ont développé un outil gratuit qui peut prévenir les infections Locky. L’outil trompe le ransomware en lui indiquant que l’ordinateur est déjà infecté.

L’utilisation de fichiers JavaScript pour distribuer Locky a commencé un peu plus tôt cette année, ce qui a incité Microsoft à publier une alerte à ce sujet en avril dernier.

Article de Lucas Mearian/ IDG NS (adaptation SL)

Sur le même sujet (ESET)

• Les auteurs du ransomware TeslaCrypt publient leur clef de chiffrement

http://www.informanews.net/locky-distribue-vague-spams-javascript/

Locky distribué en masse par une vague de spams Javascript

30 mai 2016 Jérôme DAJOUX

Au cours des derniers jours, le ransomware Locky s’est propagé à grande vitesse sur les ordinateurs du monde entier. Il faut dire que de nombreux pays européens ont été victimes d’une distribution massive de spams Javascript ayant vocation à installer le rançongiciel à distance.

Quand les pirates utilisent le spamming pour propager Locky

La dernière semaine a été intense pour les responsables de la sécurité informatique de nombreuses entreprises puisque des pirates ont lancé d’importantes vagues de spams afin d’infecter un maximum de machines avec le ransomware Locky.

Si les Etats-Unis et le Canada n’ont pas été épargnés, c’est toutefois principalement le continent européen qui a été visé par les hackers.

Ainsi, de nombreux particuliers et professionnels ont reçu la semaine passée des mails avec des pièces jointes malveillantes prenant généralement la forme d’un fichier d’archives .zip intégrant des fichiers avec extension .js ou .jse. Le choix de ces formats s’explique très simplement par le fait que ces derniers ne nécessitent pas d’application pour être exécuté si bien que les pirates optimisent leurs chances d’infecter des machines à distance avec le ransomware Locky « empaqueté » dans le .zip.

Si certains internautes savent qu’il ne faut jamais ouvrir un fichier Javascript quand ce dernier est émis par un expéditeur inconnu, certains se sont néanmoins fait piéger.

Le Luxembourg sévèrement touché par la vague de spams

Alors que la vague de spams diffusant le ransomware Locky a connu un pic le 25 mai, si on en croit le spécialiste de la sécurité ESET qui s’est intéressée de près à elle, il semblerait que certains pays aient davantage été touchés que d’autres.

C’est ainsi que le Luxembourg est celui où le taux de détection de cette campagne de spams apparaît la plus élevée avec un pourcentage atteignant près de 70%. La République Tchèque, l’Autriche, les Pays-Bas et le Royaume-Uni sont touchés à plus de 50%. La France arrive loin derrière avec un taux de détection estimé à 36%.

Rappelons qu’à ce jour, il n’existe aucune solution pour déchiffrer les dossiers infectés par Locky. En revanche, il est possible d’éviter l’infection de base grâce à un vaccin développé par Bitdefender.


http://www.globalsecuritymag.fr/Ransomware-Locky-Une-nouvelle,20160531,62521.html

Ransomware Locky : Une nouvelle vague massive contamine l’Europe

mai 2016 par ESET

Les rapports de détection réalisés par ESET montrent une augmentation importante de la prolifération du malware JS/Danger.ScriptAttachement dans plusieurs pays européens. Les pays les plus touchés sont le Luxembourg (67 %), la République tchèque (60%), l’Autriche (57%), les Pays-Bas (54%) et le Royaume-Uni (51%).

Après l’ouverture de la pièce jointe attachée à l’e-mail, le ransomware s’exécute automatiquement et installe différentes variantes du logiciel malveillant sur les machines.

Si l’utilisateur est victime de cette escroquerie, le malware JS/Danger.ScriptAttachment essaie de télécharger d’autres codes malveillants, dont la majorité est constituée de différentes familles de crypto-ransomwares tels que Locky. Une description détaillée de la façon dont fonctionne Locky est disponible sur WeLiveSecurity.

« Les utilisateurs d’ESET sont protégés contre cette menace. Nos solutions sont capables de bloquer le téléchargement et l’exécution en force par les différentes familles de ransomwares », commente Ondrej Kubovič, ESET IT Security Specialist. ESET considère les ransomwares comme l’une des menaces informatiques les plus dangereuses à l’heure actuelle. Par conséquent, nous recommandons aux particuliers et aux entreprises de garder leurs ordinateurs et leurs logiciels à jour, d’utiliser un logiciel de sécurité fiable et de sauvegarder régulièrement leurs données importantes. Les rapports de détection vont de 67 % (Luxembourg ) à moins de 1 % (Ukraine).

Niveau de détection :
 Luxembourg : 67%
 Autriche : 57 %
 Pays-Bas : 54 %
 Royaume-Uni : 51 %
 Allemagne : 48 %
 Danemark : 48 %
 Irlande 46 %
 Suède : 46 %
 Belgique : 45%
 Grèce 43 %
 Espagne : 42 %
 Finlande : 42 %
 Norvège : 40 %
 France : 36 %
 Portugal : 30%
 Pologne : 26 %

http://www.lemagit.fr/actualites/450297445/Locky-Eset-alerte-sur-une-nouvelle-vague

Locky : Eset alerte sur une nouvelle vague

par
Valéry Marchive

Rédacteur en chef adjoint

Publié le 31 mai 2016

L’éditeur avertit de la large diffusion, en Europe notamment, d’un script JavaScript malveillant, en pièce jointe de courriers électroniques, et utilisé en particulier pour le téléchargement du rançongiciel Locky et ses variantes.

Selon Eset, la vigilance s’impose en matière à la réception de courriels. Certains sont en effet largement susceptibles de contenir, en pièce jointe, un élément de code JavaScript malveillant, référencé JS/Danger.ScriptAttachment par l’éditeur, et chargé de télécharger une charge utile malveillante sur le poste compromis. Et dans la majorité des cas, il s’agirait « de différentes familles de crypto-rançongiciels tels que Locky ».

 

Pour l’heure, selon Eset, le Luxembourg, l’Autriche, les Pays-Bas et le Royaume-Uni sont les plus concernés, avec des ratios de détection allant de 67 % pour le premier, à 51 % pour le dernier. En France, l’éditeur fait état d’un ratio de détection de 36 %. Mais ces chiffres sont susceptibles de constituer un trompe-l’œil.

De fait, JS/Danger.ScriptAttachment apparaît très largement utilisé par les cybercriminels, avec un taux de prévalence de 3,59 % à l’échelle mondiale, ce qui le place en seconde position derrière le ver Win32/Bundpil. Mais en France, selon le service Virus Radar d’Eset, le téléchargement JavaScript malveillant affiche un taux de prévalence de 4,67 %, ce qui le place en tête des menaces les plus observées dans le pays. Et c’est sans compter avec un autre, également bien connu pour télécharger des rançongiciels, Nemucod, qui affiche un taux de prévalence de 0,87 % dans l’Hexagone.

En février dernier, Locky se diffusait encore en imitant Dridex, à savoir via des fichiers Word. Une importante vague a frappé la France dès février, assortie d’alertes lancées avec un délai certain. Sylvain Sarméjeanne, spécialiste de la rétro-ingénierie de logiciels malveillants au Cert de Lexsi propose depuis la fin mars de vacciner les postes de travail contre Locky.

Les créateurs d’un autre rançongiciel, TeslaCrypt, ont récemment mis la clé sous la porte. Mais pour beaucoup, les ransomwares ne sont pas prêts de disparaître, et certains s’attendent à ce que les campagnes gagnent là en ampleur.