Locky

Le Ransomware Locky

En ce début d'année 2016, la mode est aux ransomwares. Bien que chacun d'entre eux ait une spécificité, ils conservent tous une méthode similaire pour infecter les postes des utilisateurs. Tout comme CTB Locker qui avait fait beaucoup parler de lui il y a deux ans de cela, Locky est un virus de la famille des ransomwares. Si l'infection par phishing réussit, Locky chiffre les fichiers contenus sur le poste et demande le paiement d'une rançon en échange de la clé permettant de les déchiffrer.

Qui est Locky?

Locky est ce qu'on appelle un ransomware, c'est-à-dire un malware qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données. Apparu en février 2016, Locky serait l’œuvre des mêmes personnes qui ont lâché le ransomware Dridex en 2015. Locky se répand actuellement comme une trainée de poudre dans toute l'Europe, notamment en France et en Allemagne. Et cerise sur le gâteau, il évolue chaque semaine en utilisant de nouvelles méthodes de propagation.

Infection par le virus Locky

Locky utilise la technique du phishing pour infecter un maximum de machines : les victimes répandent l'infection sur leur poste en ouvrant la pièce jointe d'un email frauduleux, par manque de méfiance Il faut dire que les hackers ont perfectionné leurs campagnes d'emailing. En effet, les emails sont rédigés dans un français correct avec très peu de fautes, et peuvent facilement tromper la vigilance de l'utilisateur. De plus, les pièces jointes sont principalement des documents Word contenant des macros. Une fois la pièce jointe téléchargée et ouverte, Locky s'installe sur l'ordinateur et y chiffre l'ensemble des données accessibles, qu'elles soient sur le disque dur de la machine ou sur les lecteurs réseau connectés aux serveurs de l'entreprise. Il est facile de voir le potentiel destructeur de ce malware.

Les effets de cyber attaques donnent à réfléchir, aussi bien en terme de coûts et de pertes, qu’en terme de productivité et de réputation pour l’entreprise. Selon le Ponemon Institute, une brèche dans la protection des données coûte en moyenne 5,4 millions de dollars en 2014Ponemon Institute, Cisco

Comment Locky fonctionne ?


Locky crypto

Dès que la pièce jointe, un document Word contenant le code initial de l’attaque, est ouvert, si les macros sont autorisées dans votre logiciel Word, le code initial sauvegarde un fichier sur votre disque et le lance. Ce fichier, qui est la deuxième phase de l’attaque sert à télécharger la charge virale depuis Internet. La charge virale est souvent différente, ce qui rend sa détection difficile. Le virus chargé sur votre ordinateur lance alors son action et commence le chiffrement de vos documents. Tout cela se produit en quelques dizaines de secondes, plus rapidement encore si vous avez une bête de course et un très bon débit Internet.


A noter que nous constatons que beaucoup d’antivirus, même à jour, ont du mal à détecter l’attaque et pourtant les éditeurs ont réagi très rapidement dès l’apparition de cette nouvelle menace.


Le rançongiciel réalise son attaque sur les fichiers depuis un ordinateur Windows infecté, d’où l’importance de déconnecter du réseau votre ordinateur dès que vous constatez un comportement anormal. Il peut s’attaquer à tous les partages de fichiers en réseau, que le serveur de fichiers soit sous Windows, Mac OS X ou encore Linux. Il chiffre une grande quantité de types de fichiers différents incluant les documents bureautiques, les PDF, les images et photos, les films et même les codes sources si vous êtes développeur.


Faut-il payer la rançon ?


Si vous n’avez pas de sauvegarde et que vos fichiers sont importants vous pouvez prendre cette décision même si, elle est très fortement déconseillée car elle entretient ce commerce criminel et que vous n’avez aucune garantie de résultat. Malheureusement si vous n’aviez pas sécurisé vos données avant l’attaque et que vos données valent plus que le montant de la rançon et du risque de payer pour rien, ce sera peut-être votre dernière chance.

Sauvegardez, sauvegardez, sauvegardez !!! Nous ne le dirons jamais assez mais une bonne sauvegarde c’est une sauvegarde qui protège vos données contre tous les risques, dont l’attaque virale, mais pas que. Il existe plein de solutions professionnelles, pour toutes les bourses et tous les contextes

Le succès du hameçonnage repose sur la crédibilité du message. L’attaquant fait tout pour vous faire croire qu’il vous faut ouvrir son fichier. Quand le mail reçu est dans une langue étrangère, ou en français plein de fautes, vous ne tomberez normalement pas dans le piège. Malheureusement les attaques sont de plus en plus sophistiquées et mûrement préparées. Soyez donc sensible aux signaux faibles.


Comment se protéger contre le virus rançon ?

Sensibiliser régulièrement les salariés et ce quel que soit le niveau de responsabilité exercé. Tout personnel connecté au réseau de l'entreprise est susceptible d'être rendu destinataire de mails piégés pouvant infecter au mieux son ordinateur et au pire l'intégralité du système d'information de l'entreprise.

Installer et mettre à jour régulièrement antivirus et firewall.

Bloquer les extensions .cab dans les applications messagerie


Faites appel à un professionel de la sécurité informatique comme SECUR-ONE : contact@secur-one
Retour au dossier technologique Dossier sécurité : les 10 commandements

Qui sommes nous ?

Secur-One est une société de conseil et de services informatiques innovante spécialisée en systèmes, réseaux et sécurité. Fondée par un consultant passionné de système et sécurité informatique, Secur-One est née afin de satisfaire la demande croissante des entreprises qui ont un système d’informations peu fiable et présentant de nombreux dysfonctionnement.

Secur-One en bref

Depuis 2009, les services technologiques et de consulting de Secur-One visent à aider les entreprises à tirer parti des technologies informatiques pour gagner en rentabilité et efficacité. Et ainsi offrir des solutions innovantes à leurs clients.

Dernieres News

Secur-One est labélisée Jeune Entreprise Innovante depuis 2011. En effet, la veille technologique et les développements d'outils innovants en sécurité ont rendus éligible Secur-One au statut de Jeune Entreprise Innovante.

Secur-One Recrute

Secur-One recrute un ingénieur sécurité système et réseau avec 5 années d’experiences.