En matière de rançongiciels, je crains d’être l’oiseau de mauvais augure en vous annonçant l’apparition d’une nouvelle variante : Locky. SC Magazine a révélé qu’en date du 16 février on recensait « près de 446 000 cas liés à cette menace, dont plus de la moitié aux Etats-Unis (54 %). »
Utilisant le chiffrement AES pour commettre son méfait, Locky vous demande ensuite 0,5 bitcoin en échange du décryptage de vos données. Prenez donc garde si vous recevez un e-mail contenant un document Microsoft Word en pièce jointe et ne l’ouvrez surtout pas !
Lawrence Abrams, Microsoft MVP et fondateur de Bleeping Computer, explique : « Le document Word a l’apparence d’une facture contenant un message vous invitant à activer les macros si le texte est illisible. Une fois les macros activées par la victime, un programme sera téléchargé depuis un serveur distant puis exécuté. Le fichier téléchargé par la macro sera enregistré dans le dossier %Temp% puis exécuté. Cet exécutable est le rançongiciel Locky qui s’attellera à crypter les fichiers se trouvant sur votre ordinateur. »
À l’instar de CryptoWall, Locky modifie également le nom des fichiers cryptés pour qu’il soit plus difficile de déterminer les fichiers à rétablir.
Les types de fichiers affectés incluent actuellement : .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
Prévention
Pour empêcher Locky de semer le chaos sur vos systèmes de fichiers, ne cliquez jamais sur des liens et n’ouvrez aucune pièce jointe ou e-mail provenant d’inconnus. De plus, faites une sauvegarde régulière de vos fichiers les plus importants contenant des données sensibles.
Clients Varonis – si vous possédez DatAlert, créez une règle pour surveiller le renommage de fichiers en masse avec l’extension .locky ou d’un seul fichier _Locky_recover_instructions à l’aide des filtres « ÉGAL » / « Contenu dans ». Se connecter pour en savoir plus.
Suggestions de lecture :
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.