Annonce

Réduire
Aucune annonce.

Locky - Le nouveau ransomware qui inonde le net

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • News Locky - Le nouveau ransomware qui inonde le net


    Impossible de passer à coté, vous en avez sûrement déjà entendu parler, que ce soit de près ou de loin, vous savez tous qu'un nouveau malware fait fureur ces derniers temps: Locky.

    Qu'est ce que Locky ?

    Locky est un ransomware, un logiciel malveillant qui va crypter vos données personnelles (photos, vidéos, fichiers office...) et vous demander une rançon en échange. La rançon est le plus souvent demandée en BitCoin une monnaie virtuelle et anonyme (à l'heure d'aujourd'hui, un BitCoin vaut à peu près 360€) via des liens un petit peu louches qui redirige la plupart vers des sites accessibles via Tor. Locky s'est répandu aux États -Unis en prenant en otage les données d'un hôpital de Los Angeles, puis en Europe notamment en France et en Allemagne.

    Comment Locky se diffuse t-il ?

    Locky se diffuse via des emails piégés envoyés par un réseau de botnet. L'email comporte un texte rédigé en français, sans fautes d’orthographe, qui vous indique de bien vouloir payer une facture pour un tel ou tel service. Est fournie avec le message une fausse pièce jointe, à télécharger. Une foie celle ci sur votre machine, l'installation de Locky va commencer. Il est bon de savoir que le sujet du message est toujours "invoice_J-XXXXXX.doc" C'est le moyen le plus simple de flairer l'arnaque, car l'adresse de l’expéditeur change à chaque fois.


    Un mail piégé contenant la pièce jointe de Locky


    Quels sont les dégâts ?

    Une fois installé sur votre machine, le malware va commencer à changer vos données personnelles en fichiers cryptés en .locky, d’où le nom du programme.


    Vos fichiers contaminés par Locky


    Le fond d'écran Windows est lui aussi modifié, il est impossible de le rater, il invite l'utilisateur à passer à la caisse.


    Le fond d'écran modifié par Locky

    Sachez que les machines qui se trouvent en réseau de partage ne sont pas à l’abri, une fois une machine infectée, les autres le sont aussi, ce qui pose de véritables problèmes chez les entreprises.
    Voici une liste non exhaustive des fichiers cryptés par Locky:
    .m4u | .m3u | .mid | .wma | .flv | .3g2 | .mkv | .3gp | .mp4 | .mov | .avi | .asf | .mpeg | .vob | .mpg | .wmv | .fla | .swf | .wav | .mp3 | .qcow2 | .vdi | .vmdk | .vmx | .gpg | .aes | .ARC | .PAQ | .tar.bz2 | .tbk | .bak | .tar | .tgz | .gz | .7z | .rar | .zip | .djv | .djvu | .svg | .bmp | .png | .gif | .raw | .cgm | .jpeg | .jpg | .tif | .tiff | .NEF | .psd | .cmd | .bat | .sh | .class | .jar | .java | .rb | .asp | .cs | .brd | .sch | .dch | .dip | .pl | .vbs | .vb | .js | .asm | .pas | .cpp | .php | .ldf | .mdf | .ibd | .MYI | .MYD | .frm | .odb | .dbf | .db | .mdb | .sql | .SQLITEDB | .SQLITE3 | .asc | .lay6 | .lay | .ms11 (Security copy) | .ms11 | .sldm | .sldx | .ppsm | .ppsx | .ppam | .docb | .mml | .sxm | .otg | .odg | .uop | .potx | .potm | .pptx | .pptm | .std | .sxd | .pot | .pps | .sti | .sxi | .otp | .odp | .wb2 | .123 | .wks | .wk1 | .xltx | .xltm | .xlsx | .xlsm | .xlsb | .slk | .xlw | .xlt | .xlm | .xlc | .dif | .stc | .sxc | .ots | .ods | .hwp | .602 | .dotm | .dotx | .docm | .docx | .DOT | .3dm | .max | .3ds | .xml | .txt | .CSV | .uot | .RTF | .pdf | .XLS | .PPT | .stw | .sxw | .ott | .odt | .DOC | .pem | .p12 | .csr | .crt | .key

    Comment se protéger ?

    Il n'y a pas de solutions miracles, se sont les bases de l'utilisation de on Pc: Faire les mises à jours régulièrement, prenez vous un bon AV, faites attention à ce que vous laissez passer sur votre machine... Faites des sauvegardes sur un support externe!

    Concrètement, si votre machine a été infectée, vous n'avez pas grand chose à faire, vous pouvez essayer de payer la rançon. Bien que la fiabilité du Décrypteur n'ait pas été prouvée, plusieurs personnes ont payées la rançon et on retrouvé leurs données. Avec un serveur windows, vous pouvez aussi bloquer son action avec des restrictions de fichier.


    Le site web vous invitant à payer la rançon

    Conclusion

    Bref, ce truc est une vraie rie, j’espère pour vous de ne jamais l'attraper, si toutefois c'est le cas, n'hésitez pas à partager votre expérience, le forum est là pour ça


    T'cho

    Source: korben, silicon, malekal, naked security
    @bioshock
    Twitter: @ContactBioshock
    Mail: [email protected]

  • #2
    Merci Bioshock


    Ah ouais ce Locky, c'est pas a prendre a la légère.

    Malgré les informations sur le serveur en question pour le paiement, il est vraiment impossible de tracer? Pourquoi ?

    Commentaire


    • #3
      Plusieurs solutions on été trouvées afin de vous immuniser contre Locky : https://www.lexsi.com/securityhub/co...somware-locky/
      @bioshock
      Twitter: @ContactBioshock
      Mail: [email protected]

      Commentaire


      • #4
        Une rapide étude d'un des droppers de locky est dispo ici: https://www.synhack.fr/analyse-detai...dropper-locky/

        Commentaire


        • #5
          Merci pour l'info vu aussi sur korben

          Commentaire


          • #6
            Y at-il un outil qui peut aider à restaurer les fichiers infectés par locky?

            Commentaire


            • #7
              @Capybara Pour cela je te renvoie au dossier sur les ransomware rédigé par Anonyme77 et moi même.
              Tu trouveras sûrement ce que tu souhaites ici: http://hackademics.fr/showthread.php...on-pour-chacun

              Bonne soirée et bonne chance, tiens nous au courant de tes avancées!
              @bioshock
              Twitter: @ContactBioshock
              Mail: [email protected]

              Commentaire


              • #8
                Envoyé par Bioshock Voir le message
                @Capybara Pour cela je te renvoie au dossier sur les ransomware rédigé par Anonyme77 et moi même.
                Tu trouveras sûrement ce que tu souhaites ici: http://hackademics.fr/showthread.php...on-pour-chacun

                Bonne soirée et bonne chance, tiens nous au courant de tes avancées!
                Je vous remercie de votre réponse et des solutions avant l'infection! Aussi je peux recommander ce guide le long avec ShadowExplorer outil qui a été très efficace!

                Commentaire

                Chargement...
                X