Peril dans nos boîtes mail : ransomware Locky propagé par des macros Word fait des ravages

Utilisant la même technique de vol de données que le cheval de Troie Dridex, de sinistre mémoire, le ransomware Locky est actuellement massivement poussé sur des ordinateurs cibles. Une rançon de 17 000 dollars a été demandée à un centre hospitalier américain pour remettre en marche son système d’information.

Un nouveau type de ransomware utilisant les mêmes modalités d’attaque que le fameux malware bancaire Dridex, fait des ravages sur les machines de certains utilisateurs. En général, les victimes reçoivent par courrier électronique une facture incluant une macro sous forme de document Microsoft Word, ou une petite application, qu’elles ouvrent sans trop de méfiance. Un seul conseil : attention aux documents Microsoft Word contenant des macros !En raison des dangers pour la sécurité, les macros sont désactivées par défaut par Microsoft. Quand les utilisateurs ouvrent un document contenant une macro, Word les avertit immédiatement. « Mais si les macros sont activées, le document exécute la macro et télécharge Locky sur l’ordinateur », a écrit mardi Palo Alto Networks dans un blog. Locky utilise la même technique que Dridex, le cheval de Troie bien connu qui vole les identifiants des utilisateurs de services bancaires en ligne. D’ailleurs, les experts en sécurité pensent que le groupe à l’origine de Locky est lié à l’un des groupes qui contrôlent Dridex. « Les modalités de distribution sont similaires. De même, le chevauchement des noms de fichiers et l’absence de campagne de ce malware particulièrement agressif coïncident avec l’émergence initiale de Locky », a encore écrit Palo Alto.

Source : Le Monde Informatique

Risques potentiels pour votre système d’information

La macro Word s’exécute et crypte l’ensemble des fichiers avec les extensions suivantes :

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Cela altère non seulement les disques locaux mais aussi et surtout crypte les fichiers présent sur les partages du réseau !!!

Source : Pour en savoir plus… Webroot – Ransomware LOCKY (en anglais)

Comment protéger votre système d’information

Voici quelques bonnes pratiques à adopter pour vous prémunir de ce genre de malveillance :

  • 1 – Sensibiliser les utilisateurs afin qu’ils n’ouvrent pas les pièces jointes des mails dont ils ne sont pas certains à 100%.

  • 2 – Avoir un bon antivirus (Itcom Services préconise et distribue Webroot à partir de 1,60 €/mois/poste)

  • 3 – Protéger sa messagerie avec un antispam (Itcom Services préconise et distribue Mailinblack à partir de 1,55 €/mois/boîte mail)

  • 4 – Avoir une bonne solution de sauvegarde.