ALERTE VIRUS : Les ransomwares Locky et Crysis sévissent en France

Publié le 04/03/2016

Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatique (CERT-FR) vient de mettre à jour un de ses bulletins d'alerte. Il constate, depuis le 29 février dernier, une vague de faux courriels dont la pièce jointe est en fait une porte d'entrée pour le ransomware Locky.

Après cryptolocker en 2013 et dridex en 2015, une troisième vague d'infection de grande envergure par rançongiciel se propage actuellement sous le nom de locky.


Depuis la mi-février 2016, des courriels ayant pour objectif la diffusion du rançongiciel de type Locky sont diffusés au niveau national.

Un rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, par une action de l’utilisateur. La victime est ensuite invitée à verser de l’argent afin que l’attaquant déchiffre les fichiers ciblés.


Dans le cadre de cette campagne, pouvant impacter tous les ordinateurs (particuliers, entreprises, collectivités territoriales…) ou réseaux informatiques, la diffusion de locky s’effectue par l’intermédiaire d’un courriel dans lequel se trouve une pièce jointe. Ce document contient un texte illisible ainsi qu’un message indiquant la nécessité d’activer les macros pour l’affichage correct du message. Macro dont l’objectif est la récupération puis l’exécution du malware. L’exécution de ce dernier entraîne le chiffrement des données et les fichiers sont renommés avec l’extension ".locky".


La perte des données informatiques pour une entreprise ou une collectivité peut engendrer des difficultés quelquefois insurmontables (perte de fichiers clients, comptabilité, plans, process, etc ....), d'autant que bon nombre d'entre elles n'ont pas de dispositif de sauvegarde informatique structuré, régulier et protégé.


La vitesse d'exécution est très élevée, il suffi de quelques minutes pour qu'un poste soit intégralement chiffré et inutilisable.


La seule façon de déchiffrer les fichiers infectés est de payer une rançon. Actuellement, il n'existe pas de méthode de déchiffrement fiable alternative au programme Locky Decryptor proposé par les pirates.
Certains magazines spécialisés aborderaient ce phénomène et proposeraient comme solution, un outil de détection et d'élimination du virus.

A peu près à la même date (mi-février 2016) que le ransomware LOCKY, une seconde campagne de ransomware dénommé ce coup-ci CRYSIS a également été lancée.
(Crysis venant du fait que ce dernier modifie les extensions des documents chiffrés en ".Crysis").

Il cible les entreprises et semble être installé par des attaques "bruteforce RDP". Si le groupe à l'origine de ce ransomware est le même que pour les autres attaques, il y a probablement peu de chances de récupérer les documents chiffrés, même après paiement de la somme exigée.

Comme dans les cas précédents, le fond d'écran est modifié avec les instructions de paiement adresse de contact dalailama2015@protonmail.ch par exemple.

Comme le mentionne à juste titre le site malekal.com, la première règle élémentaire de sécurité est la suivante : "On réfléchit puis on clique et non pas l'inverse".
Seule une vigilance de tous les instants peut éviter les désagréments causés par un ransomware.

Préconisations :
- Sensibiliser régulièrement les collaborateurs ;
- Effectuer des sauvegardes régulières et s'assurer de leur viabilité ;
- Désactiver les macros exécutables automatiquement ;
- Installer et mettre à jour, les antivirus, antimalware et firewall ;
- Mettre en place une veille pour anticiper et s'adapter aux nouvelles menaces ;
- Si la pièce jointe infectée est ouverte, il convient d'isoler immédiatement l'ordinateur compromis afin de bloquer la
poursuite du chiffrement et la destruction des dossiers ;
- Effectuer des copies d'écran (mails frauduleux et pièces jointes) comportant la date et l'heure de réception ;
- Répertorier l'ensemble des actions réalisées ;
- Déposer plainte auprès des services de police ou de gendarmerie ;
- Consulter le site de l'agence nationale de sécurité des systèmes d'information (ANSSI) www.ssi.gouv.fr.
- Rester vigilant.


Rédacteur : Adjudant-chef ROUBEY
intel-eco.rgfc@gendarmerie.interieur.gouv.fr

 

Voir toutes les actualités