Nouvelles attaques du crypto-rançonneur Locky via Facebook et LinkedIn

Je n’avais pas parlé du virus crypto-rançonneur Locky depuis le 27 juin dernier et toutes les informations publiées en français à son sujet semblaient également, tout comme sa fiche française sur Wikipédia, s’être arrêtées là, quoiqu’il ait bien continué à faire des siennes dont la presse étrangère rendait compte à ses lecteurs.

Or, voilà qu’on en reparle dans des publications françaises depuis l’arrestation à Strasbourg et Marseille de terroristes préparant une ou plusieurs nouvelles attaques, apparemment pour le 1er décembre 2016.

Il s’invite sur Facebook, nous dit-on depuis le 22 novembre. Certes, mais ce n’est pas nouveau, les faits étaient connus depuis début septembre.

Par ailleurs, Locky a aussi fait sa rentrée de septembre sous la nouvelle forme d’Odin, après celle de Zepto apparue au début de l’été.

Je rappelle que de nombreux indices m’avaient amenée très tôt à lier tous les ravages de ce virus aux nouveaux besoins d’argent du NPA en prévision de ses campagnes en tous genres jusqu’à la présidentielle de 2017, y compris, bien entendu, toutes celles plus ou moins souterraines ou sournoises dont le but est d’obtenir coûte que coûte le silence de ses victimes.


http://www.silicon.fr/ransomware-locky-sur-facebook-163219.html

Le ransomware Locky s’invite sur Facebook

Jacques Cheminat, 22 novembre 2016, 7:59

119 6 122 Donnez votre avis

Des chercheurs ont découvert une attaque reposant sur la messagerie instantanée de Facebook pour diffuser le célèbre ransomware Locky.

Les campagnes de ransomwares ne faiblissent pas et testent de nouveaux vecteurs de propagation. Bart Blaze, chercheur en malware, a été sollicité par un ami qui a reçu une image « étrange » sur son compte Facebook. Il s’agissait d’un spam utilisant le chat de Facebook pour diffuser une image (au format .svg) intégrant un outil de téléchargement de malware nommé Nemucod. Un premier point à souligner est que l’image est capable de passer sous les radars des filtres anti-spam de Facebook.

L’utilisation de fichiers SVG (Scalable Vector Graphics) est importante. SVG est basé sur XML, ce qui signifie qu’un pirate peut intégrer n’importe quel contenu, comme du JavaScript. Dans ce cas-là, l’analyse du code a montré qu’il s’agissait bel et bien de JavaScript.

Redirigé vers une fausse page YouTube

En cliquant sur l’image, l’internaute est redirigé sur une page qui ressemble à YouTube. Une fois le site téléchargé, l’utilisateur est invité à télécharger à un codec pour lire la vidéo. Si celui-ci, présenté comme une extension de Chrome, est installé, alors Nemucod débarque et Locky aussi. Le rançongiciel peut ensuite à sa guise chiffrer les fichiers de l’ordinateur et réclamer de l’argent (habituellement en bitcoin) à la victime.

Bart Blaze conseille donc de se méfier des images envoyées notamment par des connaissances, « surtout quand il n’y a que l’image dans le message ». Fraser Kyne, directeur technique chez Bromium, se veut plus inquiétant en soulignant le fait que « pas mal de personne regarde Facebook au bureau, il y a alors un grand risque pour la diffusion du malware au sein de l’entreprise ». Locky a été découvert en février 2016 par des équipes de Palo Alto Networks et a impacté beaucoup d’entreprises à travers le monde.

A lire aussi
Ransomware : Locky active le mode pilotage automatique
Une variante de Locky se fait passer pour un fichier système Windows

Photo credit: portalgda via VisualHunt / CC BY-NC-SA

https://www.globalsecuritymag.fr/ImageGate-Check-Point-decouvre-une,20161124,67207.html

ImageGate : Check Point découvre une nouvelle méthode de diffusion de logiciels malveillants sur Facebook ou encore LindedIn via des images

novembre 2016 par Check Point

Check Point® Software Technologies Ltd. a annoncé que ses chercheurs en sécurité ont identifié un nouveau vecteur d’attaque, nommé ImageGate, qui intègre des logiciels malveillants dans des fichiers image et des fichiers graphiques. Ils ont également découvert la méthode d’exécution du code malveillant dans ces images via des applications de réseaux sociaux tels que Facebook et LinkedIn. 

Selon les études effectuées, les agresseurs ont développé une nouvelle façon d’intégrer du code malveillant dans un fichier image et le télécharger sur les sites web de réseaux sociaux. Les agresseurs exploitent un défaut de configuration dans l’infrastructure des réseaux sociaux pour forcer délibérément leurs victimes à télécharger le fichier image. L’appareil de l’utilisateur est infecté dès qu’il clique sur le fichier téléchargé.

Depuis ses trois derniers jours, le secteur de la sécurité suit de très près la propagation massive du logiciel rançonneur Locky via les réseaux sociaux, en particulier dans sa campagne Facebook. Les chercheurs de Check Point sont convaincus que la nouvelle technique ImageGate révèle comment cette campagne a été rendue possible, une question qui est restée sans réponse jusqu’à présent.

Ils ont pu ainsi découvrir le vecteur d’attaque qui affecte les principaux sites web et réseaux sociaux dans le monde entier, y compris Facebook et LinkedIn. Check Point a informé Facebook et LinkedIn du vecteur d’attaque dès le début du mois de septembre.

Démonstration : https://youtu.be/sGlrLFo43pY

Dans le cas du logiciel rançonneur Locky, une fois que les utilisateurs téléchargent et ouvrent le fichier malveillant qu’ils reçoivent, tous les fichiers présents sur leur appareil personnel sont automatiquement chiffrés et ne peuvent être récupérés qu’après paiement de la rançon. Le secteur estime que la campagne est toujours active et fait de nouvelles victimes chaque jour.

« À mesure que les gens passent plus du temps sur les sites de réseaux sociaux, les pirates recherchent un moyen d’entrer sur ces plates-formes, » déclare Oded Vanunu, Head of Check Point’s Products Vulnerability Research. « Les cybercriminels comprennent que ces sites sont généralement mis en liste blanche, et pour cette raison, ils sont continuellement à la recherche de nouvelles techniques pour exploiter les réseaux sociaux à des fins malveillantes. Afin de protéger les utilisateurs contre les menaces les plus avancées, les chercheurs de Check Point essaient d’identifier les prochaines cibles des agresseurs. »

Comment rester protégé ? Check Point recommande les mesures de prévention suivantes :

1. Si vous avez cliqué sur une image et que votre navigateur commence à télécharger un fichier, ne l’ouvrez pas. Les sites web de réseaux sociaux devraient afficher des images sans avoir à télécharger de fichier.

2. N’ouvrez pas de fichier image comportant une extension inhabituelle (telle que SVG, JS ou HTA).

Une description technique détaillée du vecteur d’attaque sera publiée par Check Point lorsque la vulnérabilité aura été corrigée dans les principaux sites concernés, afin d’empêcher les agresseurs de tirer profit de ces informations.

http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-821010-ransomware-images-transmises-facebook.html

Par Paolo GAROSCIO

le vendredi 25 novembre 2016

Un ransomware dans des images transmises par Facebook

Un nouveau risque pour la sécurité des ordinateurs du monde entier a été identifié par la firme spécialisée dans la sécurité informatique CheckPoint. Une nouvelle forme d’attaque au ransomware a vu le jour sur les réseaux sociaux.

Les pirates auraient trouvé le moyen de propager un ransomware, notamment le célèbre Locky, via un simple fichier image qui est envoyé par Facebook et LinkedIn.

Un fichier image qui conduit au téléchargement de Locky

Selon l’entreprise spécialisée CheckPoint, les pirates auraient réussi à contourner les sécurités de Facebook et LinkedIn en maquillant un logiciel malveillant, en l’occurrence le ransomware (ou rançongiciel en français) Locky, dans un fichier image. Ainsi faisant, le fichier peut être partagé sur Facebook et LinkedIn sans que les systèmes de sécurité et antivirus des deux réseaux sociaux ne le bloquent.

Le fichier a toutefois une particularité : il s’agit d’un fichier en .svg ce qui, déjà, devrait mettre la puce à l’oreille de l’utilisateur qui le reçoit. Les fichiers .svg sont assez rares puisqu’ils servent pour le dessin vectoriel. CheckPoint signale également que cette attaque est une version améliorée d’une attaque déjà connue.

Sur Messenger, le fichier en question, tel qu’il apparaîtrait

Locky téléchargé dès l’ouverture du fichier ?

L’attaque consistant à télécharger le ransomware Locky via un fichier image était déjà connue, mais la première version renvoyait, une fois l’image ouverte, vers un site qui montrait une vidéo et qui demandait de télécharger un logiciel pour la voir. Ce logiciel était, en réalité, Locky.

Désormais, selon CheckPoint, les pirates ont trouvé un moyen d’aller plus vite et d’être plus dangereux. Il suffit d’ouvrir le fichier .svg infecté pour télécharger directement Locky sur l’ordinateur. Aucune redirection n’est nécessaire.

Pour éviter de se faire infecter, il suffit de ne pas télécharger de fichier .svg inconnu et, surtout, de ne pas l’ouvrir. Si vous l’avez téléchargé et pas encore ouvert, supprimez-le, faites un scan antivirus et changez vos mots de passe pour plus de sécurité.

Comparatif antivirus : quel antivirus choisir ?

• Windows 10 serait plus sûr que Windows 7 contre les ransomware

• Le ‘Ransomware’ devient une menace importante…

• Antivirus : Avast rachète AVG pour 1,3 milliard de dollars

Modifié le 25/11/2016 à 11h39

http://www.zdnet.fr/actualites/facebook-messenger-encore-un-malware-qui-circule-via-une-image-39845230.htm

Facebook Messenger : encore un malware qui circule via une image

Sécurité : Selon l’éditeur de sécurité Check Point, le virus se diffuse également via LinkedIn. Une fois téléchargé, il active un ransomware sur le poste infecté.

Par La rédaction de ZDNet.fr | Samedi 26 Novembre 2016

Une nouvelle fois, le très populaire Facebook Messenger est utilisé comme vecteur pour diffuser une attaque. L’éditeur Check Point met en effet en garde les utilisateurs de l’application mais aussi de LinkedIn également exploité par les pirates.

La méthode est classique : l’envoi d’une image en .svg qui renvoie vers une vidéo nécessitant le téléchargement d’une pseudo-extension piégée. L’éditeur précise que la contamination peut également se faire par simple téléchargement de l’image. Une fois téléchargé, elle active un ransomware (le fameux Locky) sur le poste infecté.

On ne sait pas encore combien de personnes ont pu être touchés par cette attaque mais CheckPont précise que Locky est impliqué dans 5% des attaques constatées à travers le monde sur le mois d’octobre. Facebook est au courant de la menace depuis septembre mais visiblement, l’attaque a toujours cours.

« À mesure que les gens passent plus du temps sur les sites de réseaux sociaux, les pirates recherchent un moyen d’entrer sur ces plates-formes. Les cybercriminels comprennent que ces sites sont généralement mis en liste blanche, et pour cette raison, ils sont continuellement à la recherche de nouvelles techniques pour exploiter les réseaux sociaux à des fins malveillantes », commente  Oded Vanunu, chercheur chez Check Point.

En octobre, c’est le virus Ecko qui sévissait sur Messenger. Là encore l’approche était classique : vous recevez sur la messagerie instantanée une vidéo prétendument envoyée par un contact. Pour plus d’efficacité, la vidéo (xic.graphics) se présente avec une photo de votre profil et est nommée « votre prénom Video » afin de vous inciter à cliquer.

En cliquant sur le lien, l’utilisateur est renvoyé vers une fausse page YouTube, il est alors invité à télécharger une extension pour lire le fichier (là encore, approche classique). C’est à ce moment que le virus Eko pénètre votre ordinateur permettant un accès à distance à vos données, notamment en vue de mener des campagnes de phishing ou pour se propager une nouvelle fois par Facebook via le piratage du compte.

http://globbsecurity.fr/odin-nouveau-ransomware-39688/

 

 

Odin: un nouveau ransomware

By Monica Valle on octobre 24, 2016 Cybercriminalité

Un nouveau ransomware circule sur la Toile depuis la fin Septembre. Chaque mois de nouvelles familles de logiciels malveillants qui détournent les fichiers en otage sont créés mais cette nouvelle variante est une nouvelle version d’une vieille connue des experts: Locky. Son nouvel nom? Odin, et, comme prevu il est l’œuvre des responsables du ransomware Locky.

G DATA alerte que Odin est distribué par e-mail, et caché dans des pièces jointes. La plupart, des documents de bureau ou des archives. Le problème, comme toujours avec ce type de criptomalware, est qu’une fois ces fichiers malveillants sont téléchargés, le malware commence à faire son travail à partir des répertoires locaux et chiffre les lecteurs réseau partagés.

Donc, pour pas devenir une victime, il faut être attentif face à cette nouvelle vague de ransomware, et surtout, prendre en compte des précautions de base pour éviter de tomber dans le piège. Dès G DATA conseillent que la meilleure protection est une bonne sauvegarde. Non seulement dans un support physique, comme cela peut être un disque dur externe, mais aussi de faire qu’il ce ne soit pas connecté au réseau principal.

Lors de l’ouverture des e-mails avec des pièces jointes, nous pourrions être confrontés à des pièces jointes malveillantes. C’est pour cela qu’avant de télécharger, nous devons nous assurer que nous connaissons vraiment le destinataire et le but du pièce jointe car, bien qu’à l’heure actuelle la plupart des programmes malveillants sont détectés de manière proactive par moyens automatiques, le danger peut ne pas être détecté.

En cas de doute, le conseil est clair: ne pas effectuer le téléchargement. En plus, il est conseillé d’avoir des solutions de sécurité installées, et tenir les ordinateurs mis à jour: le système d’exploitation, les programmes installés, les navigateurs et les outils.

About Author

Monica ValleJournaliste spécialisée en technologie et cybersécurité. Directrice de Globb Security et présentatrice du programme sur sécurité informatique et technologie Mundo Hacker. Twitter: @monivalle.

http://virusguides.com/locky-ransomware-applies-odin-extension-encrypted-files/

Locky Ransomware Applies the .ODIN Extension to Encrypted Files

By Nelly Vladimirova -

September 27, 2016

A brand new version of Locky Ransomware was found today by @dvk01uk. The most peculiar thing about the new ransomware variant is that it switches from the .ZEPTO extension to the.ODIN extension for encrypted files.

Apart from the above-mentioned, it is important to point out that if you are infected with this version of ransomware, you are not infected with the Odin Ransomware. Actually, you are infected by Locky, which is using the .ODIN extension now.

Similarly to the old Locky versions, the new sample is being distributed through WS, JS, etc, or email attachments attached to SPAM emails. When a recipient double-clicks on one of these script files, it will download an encrypted DLL installer, decrypt it, and execute it using the legitimate Windows program, named Rundll32.exe.

The command which is executed to launch the DLL is: rundll32.exe %Temp%\[name_of_dll],qwerty

Being executed, Locky ransomware encrypts a victim’s files, rename them, and append the .ODIN extension after that. For instance, test.jpg may be renamed as 5FBZ55IG-S575-7GEF-2C7B-5B22862C2225.odin.

Nevertheless, you should be aware that the names of the ransom note might have already changed.

The ransom notes that are created by the current version are _HOWDO_text.html, _HOWDO_text.bmp, and _[2_digit_number]_HOWDO_text.html.

A list of the extensions targeted for encryption by the new Locky version is provided bellow:
.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key

Nelly Vladimirova

http://virusguides.com

 

Nelly Vladimirova has been working as a journalist since 1998 with a main focus on Finance, Economics, and IT. In 2004 she graduated the University of Plovdiv, Bulgaria, as a Bachelor in English Philology and Master in Linguistics and Translation. Later, Nelly received a postgraduate certificate in Business Management from Scott’s College, UK. Presently, she is presenting the latest news related to computer security at www.virusguides.com.

http://ici.radio-canada.ca/nouvelle/801780/rose-des-vents-de-l-estrie-victime-cyberattaque-virus-zepto

Des organismes de l’Estrie paralysés par une cyberattaque

Publié le jeudi 8 septembre 2016

Un clavier d’ordinateur. Photo : IS / iStock

La Commission scolaire des Appalaches (CSA) et la Rose des vents de l’Estrie, un organisme offrant du soutien aux gens atteints de cancer, ont été attaqués par un programme de terrorisme informatique. Depuis l’attaque, tous les dossiers de leurs ordinateurs ont été cryptés, rendant l’information impossible à lire. Les pirates informatiques exigent une rançon de plusieurs milliers de dollars en échange d’une clé de décryptage.

Un texte de Geneviève Proulx

À la Rose des vents, ce sont 12 000 dossiers qui ont été cryptés. « Le programme qui s’appelle Zepto est envoyé dans le nuage. Ce n’est pas ciblé à la Rose des vents. Ça peut arriver à n’importe qui. Ce n’est pas une personne assise devant son ordinateur », soutient la directrice générale de l’organisme, Anne-Marie Poirier.

Du côté de la CSA, le réseau informatique a été attaqué samedi.

« La Commission ne nous a rien caché et nous a avisés qu’elle avait été piratée et qu’elle n’avait plus accès à aucune donnée. Une rançon de 20 000 $ a été demandée, sinon, dans sept jours, ils perdraient toutes les données. On sait que la Sûreté du Québec fait une enquête », explique le président du Syndicat de l’enseignement de l’amiante, Francis Jacob.

Entre autres problèmes, les enseignants n’ont plus accès à leur tableau interactif ou à leur iPad.

Ils ont dû retourner à leur tableau et à la craie! Il n’y a pas d’autres options.

François Jacob, président du Syndicat de l’enseignement de l’Amiante

Paye menacée?

Mais c’est surtout la possibilité que les employés de la CSA ne reçoivent pas leur salaire qui en inquiète plusieurs. « Des enseignants commencent à appeler au Syndicat pour savoir s’ils seront payés le 15 septembre. C’est à ce moment que devaient être déposés les montants forfaitaires et les réajustements salariaux de la dernière convention collective. La Commission scolaire nous a toutefois dit que rien, pour l’instant, ne pourrait nous faire prétendre que la paye ne serait pas déposée. On ne sait jamais. Ils ont jusqu’à vendredi pour trouver une solution », explique M. Jacob.

Le syndicat a demandé à la direction de la CSA si les données personnelles du personnel avaient été volées. « On n’a pas eu de réponse là-dessus », dit-il.

Le service de taxe scolaire serait également touché.

Des spécialistes en informatique analysent la situation. La Sûreté du Québec enquête également sur ce cas.

La Rose des vents de l’Estrie   Photo : Radio-Canada Estrie/Marie-Hélène Rousseau

Beaucoup de problèmes

Pour la Rose des vents, il n’était pas question de payer quelque rançon que ce soit. Dès que l’organisme a saisi être victime d’une cyberattaque du programme Zepto, la décision de fermer les systèmes informatiques a rapidement été prise, et ce avant même de recevoir une demande.

« On a décidé de tout couper, de tout arrêter, de faire un ménage énorme dans nos fichiers et de remettre en place le dernier backup. On a coupé tout », dit Mme Poirier.

Bien que les données des personnes qui sont suivies à la Rose des vents n’aient pas été touchées, la cyberattaque complique grandement la vie de l’organisme.

« Nous avons un technicien qui travaille là-dessus depuis plusieurs jours. Nous avons dû annuler l’assemblée générale de la Fondation Claude-Durocher qui aurait dû avoir lieu hier. On a perdu les documents, dont le rapport annuel que nous devons recommencer. Des logiciels ont aussi été attaqués. Nous avons donc dû acheter de nouveaux logiciels. C’est compliqué! »

Selon la directrice, le programme pourrait être rentré dans le système informatique par un banal courriel. « Nous croyons que c’était un courriel dans lequel c’était écrit que nos billets d’avion étaient arrivés. Si vous attendiez un billet d’avion et que vous avez 45, 50 courriels à vérifier en arrivant au bureau, tu l’ouvres et il est trop tard. »

Une plainte au service de police sera déposée jeudi. « Le virus, Zepto, viendrait de Chine, de Russie ou des Philippines. Ce n’est pas clair. Ça sera à peu près impossible de les retracer », croit Anne-Marie Poirier.

Pour l’instant, il n’existe pas encore de pare-feu ou d’antivirus contre Zepto.

À lire aussi : 

• La faille Heartbleed démystifiée
• 5 choses à savoir sur Heartbleed

http://lepcdeglingue.com/87-lastnews/146-06-07-16-ransomware-zepto-locky

06-07-16 Ransomware ZEPTO (Locky)

Une nouvelle variante du virus (ransomware) Locky vient de faire son apparition. Cette version se propage au moyen d’un script joint à une pièce jointe de la messagerie.

Lorsqu’il s’execute, les fichiers bureautiques (*.doc, *.xls, *.pdf, *.jpg etc…) sont cryptés et leur noms sont modifiés de façon à ne plus être explicites se terminant par l’extension zepto.

Il est alors impossible d’ouvrir les documents et une demande de rançon est affichée proposant de payer un decripteur.

Ceci est aujourd’hui très courant et les ransomwares sont de plus en plus nombreux.

• Il est assez simple de se protéger préalablement en s’assurant d’avoir un antivirus performant, à jour au niveau moteur et base virale. De même il est impératif d’avoir un PC à jour au niveau système et d’utiliser un navigateur à jour.
• Il n’existe pas encore de decripteur pour les fichiers zepto mais il est possible de récuperer des fichiers dans le Volume Shadow Copy avec Shadow Explorer (uniquement depuis le dernier point de sauvegarde système). Les outils de récupération comme Icare Data Recovery sont sans effet les fichiers étant directement impactés sur le disque.
• Un bon nettoyage des fichiers temporaires ne fait pas de mal et les éléments tels que Flashplayer et Java doivent aussi être mis à jour régulièrement car ils sont vecteurs de failles de sécurité.

Un seul conseil : mettez vos machines à jour !

http://www.sophosfranceblog.fr/ransomware-zepto-nouveau-locky/

Le ransomware Zepto : un nouveau Locky ?

Nous vous présentons le dernier arrivé dans l’univers des ransomwares : Zepto.

Il est très similaire au bien connu malware Locky, les effets d’une attaque menée par ce dernier sont identiques : vos fichiers sont chiffrés, et les cybercriminels vous proposent alors de vous vendre la clé de déchiffrement.

En réalité, les familles de malwares Zepto et Locky sont tellement proches que lorsque vous arrivez sur la « page de paiement » de Zepto, sur laquelle les cybercriminels vous expliquent combien vous devez payer pour récupérer vos données, vous voyez ceci :



Il existe néanmoins une différence évidente par rapport à une infection Locky : en effet, après une attaque Zepto, vos fichiers seront renommés avec une extension .zepto (Locky avait été nommé ainsi car les fichiers avaient reçus l’extension .locky).

En renommant vos fichiers, les cybercriminels souhaitent tout simplement vous faire comprendre l’enjeu réel si vous ne payez pas.

A ce moment-là vous pouvez apprécier combien vous êtes proche de récupérer vos données, mais aussi combien vous en êtes loin.

Comment Zepto arrive ?

Les semaines passées, nous avons pu voir des variantes de Zepto se propager de 2 manières différentes, lesquelles sont traditionnellement utilisées par les ransomwares à but criminel :

• Dans les emails avec une pièce jointe contenant une archive ZIP.
• Dans les emails avec une pièce jointe contenant un fichier DOCM.

Dans le premier cas, en ouvrant l’archive ZIP vous lancerez l’extraction d’un fichier avec une extension .JS (JavaScript).

Si JavaScript semble être un format étrange pour une pièce jointe, qui revendique être un document, rappelez-vous que Windows a supprimé par défaut la partie .JS du nom du fichier, affichant ce dernier uniquement associé à un icône qui donne l’impression qu’il s’agit d’un fichier texte :



Cependant, en ouvrant le fichier JavaScript, vous lancerez le script du programme qui s’y trouve, qui téléchargera ensuite le ransomware sous la forme d’un fichier .EXE (programme Windows), et le lancera également.

Dans le deuxième cas, la pièce jointe est un DOCM, ainsi en double cliquant sur ce fichier, vous l’ouvrirez par défaut dans Word.

Cependant, DOCM signifie en réalité « document avec macros », un type spécial de document qui contient des scripts intégrés écrits en VBA.

Le VBA est un langage de programmation qui est très similaire au JavaScript, et qui peut être utilisé pour servir les mêmes objectifs, y compris la propagation de malwares.

Les Macros, à l’intérieur d’un fichier Word, ne sont pas lancées par défaut (une précaution de sécurité introduite il y a des années maintenant par Microsoft). Elles déclenchent une alerte comme celle ci-dessous, vous invitant à utiliser le bouton [Options], afin d’ajuster vos paramètres de sécurité.

Dans le cas des récentes attaques Zepto que nous avons vu, les documents piégés étaient vierges en débouchant, après l’ouverture, de manière inhabituelle sur une page vide :



La plupart des documents qui transportent avec eux des ransomwares, en général fournissent des explications ou bien des excuses pour vous encourager à cliquer sur [Options], et à changer les paramètres de sécurité, en prétextant souvent et ironiquement d’ailleurs que cela améliorera votre propre sécurité.

Dans notre cas, les cybercriminels sont restés discrets, en espérant que vous cliquerez sur [Options] de votre propre initiative.

Nous ne savons pas s’il s’agit ici d’un accident (en oubliant d’intégrer des instructions explicatives), ou bien si cette manœuvre est volontaire (afin d’éviter le type de message qui est maintenant bien connu comme systématiquement associé à des ransomwares).

En autorisant les Macros, vous effectuer une démarche similaire à celle consistant à ouvrir le fichier JavaScript ci-dessus : le script VBA télécharge le ransomware sous la forme d’un fichier (programme Windows) .EXE, et le lance.

Les produits Sophos détectent et bloquent ces vecteurs d’attaques sous une variété de noms, incluant notamment : Mal/DrodZp-A (une archive ZIP en pièce jointe), Troj/JSDldr-LU (des downloaders JavaScript  intégrés dans un fichier ZIP), Troj/DocDl-DUN (un document Word avec Macros dans une pièce jointe), Mal/Ransom-EM et Troj/Ransom-DJF (les fichiers .EXE du ransomware lui-même).

Le moment de payer

Tout comme Locky, Zepto commence par effectuer un « call home » vers un serveur web contrôlé par les cybercriminels, à partir duquel il télécharge une clé de chiffrement pour chiffrer vos données.
Les cybercriminels en question conservent alors la clé de chiffrement correspondante avec eux, qui se trouvera justement être cette même clé qu’ils vous offriront d’acheter plus tard (voir ci-dessous, où le prix demandé s’élève à BTC 0.5, soit à peu près à l’heure actuelle 300$).

Vos données se retrouvent à la fois chiffrées et renommées, de telle manière à ce que les fichiers chiffrés au final ressembleront à ceci :

FA3D5195-3FE9-1DBC-E35E-89380D21F515.zepto
FA3D5195-3FE9-1DBC-7E8D-D6F39B86044A.zepto
FA3D5195-3FE9-1DBC-1683-7BF4FD77911D.zepto
FA3D5195-3FE9-1DBC-30B9-E2FF891CDB11.zepto

La première moitié de chaque nom est la même pour tous les fichiers, et est un identifiant unique qui indique aux cybercriminels « qui vous êtes » si vous décidez de payer afin de récupérer vos données.

Après le chiffrement de vos données, Zepto vous présente le message expliquant « comment payer », afin de s’assurer que vous pouvez récupérer vos fichiers, moyennent le paiement d’une certaine somme.

Le message apparaît de 3 manières différentes : en se substituant à votre fond d’écran, au sein d’une image qui s’ouvre avec le Windows Photo Viewer, et comme une page HTML qui s’enregistre dans chaque répertoire où des fichiers ont été chiffrés.

L’ID d’identification personnelle dans le message “comment payer” est le même que la première moitié des noms des fichiers chiffrés.



En suivant les instructions dans _HELP_instructions.html, vous arriverez à la « page de paiement », affichée au début de l’article.

Quoi faire ?

Nous vous mettons en garde régulièrement sur la manière d’empêcher (et de se remettre) de telles attaques menées par des ransomwares et autres nuisibles.

Voici ci-dessous quelques liens que nous pensons être utiles pour vous :

• Pour se défendre contre les ransomwares en général, lisez notre article : Comment bien se protéger contre les ransomwares ?
• Pour se protéger contre les pièces jointes en JavaScript, demandez à Windows Explorer pour ouvrir les fichiers .JS avec Notepad.
• Pour se protéger contre les noms de fichiers trompeurs, demandez à Windows Explorer pour qu’il montre les extensions.
• Pour se protéger contre les malwares VBA, demandez à Office de ne pas autoriser des macros au sein de documents en provenance d’internet.
• Pour en savoir plus sur les ransomwares, écoutez notre podcast.

Partagez Le ransomware Zepto : un nouveau Locky ? avec : http://wp.me/p2YJS1-2Mw
Billet inspiré de Is Zepto ransomware the new Locky? par Paul Ducklin, Sophos nakedsecurity.



https://fr.wikipedia.org/wiki/Locky

Locky

		Locky
Classe	Cheval de Troie
Type	Ransomware
Sous-type	Crypto-verrouilleur
Système(s) d’exploitation affecté(s)	Windows

Locky est un cheval de Troie de type ransomware envoyé par e-mail et se présentant sous la forme d’une facture qu’il faut ouvrir avec Microsoft Word ¹. À première vue, le document semble illisible et demande à l’utilisateur d’activer les macros. Une fois celles-ci activées, Locky télécharge un programme sur l’ordinateur afin de chiffrer toutes les données ². Il est ensuite demandé à l’utilisateur de télécharger Tor puis de visiter un site précis afin d’obtenir la marche à suivre pour débloquer ses fichiers. Un paiement d’un montant variable en bitcoins est alors demandé. Locky a été découvert en février 2016 et aurait infecté des millions d’utilisateurs ³. Les serveurs pirates hébergeant le cheval de troie sont toujours actifs au 27 juin 2016 ⁴.

Notes et références

1. ↑ http://rue89.nouvelobs.com/2016/03/25/dix-choses-a-savoir-locky-nouvelle-plaie-ordis-263565 [archive]
2. ↑ http://korben.info/locky-quil-y-a-a-savoir-malware-moment.html [archive]
3. ↑ http://www.idigitaltimes.com/new-locky-ransomware-virus-spreading-alarming-rate-can-malware-be-removed-and-files-512956 [archive]
4. ↑ http://www.silicon.fr/ransomware-locky-reprend-du-service-151416.html [archive]

Liens externes

• Comment faire face à un ransomware comme Locky

https://en.wikipedia.org/wiki/Locky

18. Locky

     

    From Wikipedia, the free encyclopedia

     

    Locky

    Aliases	Ransom:Win32/Locky.A (Microsoft) Trojan.Encoder.3976 (Dr.Web) Win32/Filecoder.Locky.A (ESET) Malicious_Behavior.VEX.99 (Fortinet) Trojan.Win32.Filecoder (Ikarus) Trojan-Ransom.Win32.Locky.d (Kaspersky Lab) Trojan.Cryptolocker.AF (Symantec) Ransom_LOCKY.A (Trend Micro)
    Type	Trojan
    Subtype	Ransomware
    Author(s)	Necurs

    
    Locky is ransomware malware released in 2016. It is delivered by email (that was allegedly an invoice requiring payment) with an attached Microsoft Word document that contains malicious macros.^[1] When the user opens the document, it appears to be full of garbage, and it includes the phrase « Enable macro if data encoding is incorrect, » a social engineering technique. If the user does enable macros, the macros then save and run a binary file that downloads the actual encryption trojan, which will encrypt all files that match particular extensions. Filenames are converted to a unique 16 letter and number combination with the .locky file extension.^[2][3] After encryption, a message (displayed on the user’s desktop) instructs users to download the Tor browser and visit the a specific criminal-operated Web site for further information. The Web site contain instructions that demand a payment of between 0.5 and 1 bitcoin (as of 22 November 2016 one bitcoin can be exchanged for 691.83 Euro via a bitcoin exchange). Since the criminals possess the private key and the remote servers are controlled by them, the victims are motivated to pay to decrypt their files.^[4][5]
    
    
    
    
    Encrypted File

     

    Contents

    • 1 Operation
    • 2 Updates
    • 3 Prevalence
    • 4 Notable incidents
    • 5 Spam email vector
    • 6 References

     

    Operation

    The most commonly reported mechanism of infection involves receiving an email with a Microsoft Word document attachment that contains the code. The document is gibberish, and prompts the user to enable macros to view the document. Enabling macros and opening the document launch the Locky virus.^[6] Once the virus is launched, it loads into the memory of the users system, encrypts documents as hash.locky files, installs .bmp and .txt files, and can encrypt network files that the user has access to.^[7] This has been a different route than most ransomware since it uses macros and attachments to spread rather than being installed by a Trojan or using a previous exploit.^[8]
    

     

    Updates

    On June 22, 2016, Necurs released a new version of Locky with a new loader component, which includes several detection-avoiding techniques, like detecting whether it is running within a virtual machine or within a physical machine, and relocation of instruction code.^[9][10] The second version of Locky, called Odin, was presented in the end of September. As the name of this virus suggests, it appends .odin extension to each of affected files and requires 0.5 bitcoin from its victims who want to get the decryption key. The ransomware spreads as « Receipt [random characters] » email attachment.^[11] Another version of Locky was released in October that appends .thor file extensions. It is being spread with JS and VBS attachments and employs an encrypted DLL Installer.^[12]
    

     

    Prevalence

    Locky is reported to have been sent to about a half-million users on February 16, 2016, and for the period immediately after the attackers increased their distribution to millions of users.^[13] Despite the newer version, Google Trend data indicates that infections have dropped off around June 2016.^[14]
    

     

    Notable incidents

    On February 18, 2016, the Hollywood Presbyterian Medical Center paid a $17,000 bitcoin ransom for the decryption key for patient data.^[15] The Hospital was infected by the delivery of an email attachment disguised as a Microsoft Word invoice.^[16] This has led to increased fear and knowledge about ransomware in general and has brought ransomware into public spotlight once again. There appears to be a trend in ransomware being used to attack hospitals and it appears to be growing. ^[17]
    
    On May 31, Necurs went dormant, perhaps due to a glitch in the C&C server.^{[citation needed][original research?]} According to Softpedia, there were less spam emails with Locky or Dridex attached to it. On June 22, however, MalwareTech discovered Necurs’s bots consistently polled the DGA until a C&C server replied with a digitally signed response. This signified Necurs was no longer dormant. The cybercriminal group also started sending a very large quantity of spam emails with new and improved versions of Locky and Dridex attached to them, as well as a new message and zipped JavaScript code in the emails.^[10][18]
    

     

    Spam email vector

    An example message with Locky as an attachment is the following:
    Dear (random name):
    Please find attached our invoice for services rendered and additional disbursements in the above-mentioned matter.
    Hoping the above to your satisfaction, we remain
    Sincerely,
    (random name)
    (random title)
    

     

    References

19. Sean Gallagher (February 17, 2016). «  »Locky » crypto-ransomware rides in on malicious Word document macro ». arstechnica.
20. 
    
21. « Locky Ransomware [Updated]« .
22. 
    
23. « locky ransomware ». Retrieved 26 July 2016.
24. 
    
25. « locky-ransomware-what-you-need-to-know ». Retrieved 26 July 2016.
26. 
    
27. « locky ransomware ». Retrieved 26 July 2016.
28. 
    
29. Paul Ducklin (February 17, 2016). « Locky ransomware: What you need to know ». Naked Security.
30. 
    
31. Kevin Beaumont (February 17, 2016). « Locky ransomeware virus spreading via Word documents ».
32. 
    
33. http://thehackernews.com/2016/02/locky-ransomware-decrypt.html
34. 
    
35. « Necurs Botnet Resurfaces With Updated Locky and Dridex Versions ». Bitcoinist. Retrieved 27 June 2016.
36. 
    
37. Spring, Tom. « Necurs Botnet is Back, Updated With Smarter Locky Variant ». Kaspersky Lab ZAO. Retrieved 27 June 2016.
38. 
    
39. « Latest versions of Locky use receipt-looking attachment ». 2spyware. Retrieved 3 November 2016.
40. 
    
41. « Locky creates .thor extensions ». SureShot Software. Retrieved 27 October 2016.
42. 
    
43. « locky ransomware threats ». Retrieved 26 July 2016.
44. 
    
45. « Google Trends ». Google Trends. Retrieved 2016-08-14.
46. 
    
47. Richard Winton (February 18, 2016). « Hollywood hospital pays $17,000 in bitcoin to hackers; FBI investigating ». LA Times.
48. 
    
49. Jessica Davis (February 26, 2016). « Meet the most recent cybersecurity threat: Locky ». Healthcare IT News.
50. 
    
51. http://thehackernews.com/2016/04/hospital-ransomware.html
52. 
    

Loeb, Larry. « Necurs Botnet Comes Back From the Dead ». Security Intelligence. Retrieved 27 June 2016.