Qu’est-ce que Locky Ransomware et comment s’en protéger ?
Rançongiciel Locky a été découvert pour la première fois en janvier 2016. Depuis, il s'est développé pour devenir une famille de systèmes de rançongiciels.
Bien que le Locky original ne soit plus actif, des variantes existent toujours. Il n’y a également aucune garantie que le Locky original ne reviendra pas. Il y a donc toutes les raisons de rechercher ce malware et ses variantes et d’installer des mesures de protection pour l’empêcher de pénétrer sur votre système.
Attaques de la famille de ransomwares Locky les fenêtres systèmes. Les campagnes d'attaque menées avec le ransomware Locky sont opportunistes et non ciblées. Le code du virus est joint à courriers indésirables qui sont envoyés par courrier à des listes de centaines de milliers d'adresses e-mail à la fois.
La stratégie est un jeu de chiffres. Un pour cent des destinataires seront intéressés par le texte générique de l’e-mail, et un pourcentage de ces personnes ouvrira la pièce jointe. Un sous-groupe de ce numéro activera le macro qui chargent le ransomware Locky.
Cibles du rançongiciel Locky
Bien que la stratégie d’entrée de Locky soit terminée envois massifs , il est possible d'adapter ce champ cible en acquérant des listes d'e-mails dans des secteurs spécifiques. Le Secteur de la santé a été une cible massive pour Locky. Le Télécom et Transport Les secteurs sont les prochaines grandes cibles.
Le ciblage des entreprises est plus rentable que les attaques contre les particuliers. Les grandes organisations ont plus d’argent à dépenser que les individus, mais elles ont aussi plus à perdre. Alors que de nombreux ransomwares facturent environ 500 $ pour la réparation, la rançon de Locky se situait généralement entre 4 500 $ et 10 000 $, payée en espèces. Bitcoin . Ce n’est pas le niveau le plus élevé des demandes de rançon ; certains ransomwares exigent des sommes en millions de dollars.
Le botnet Necurs
La plupart des systèmes de messagerie s'appliquent désormais filtres anti-spam automatiquement. Il s'agit de systèmes de liste noire qui repèrent les envois volumineux provenant d'un domaine ou d'une adresse e-mail. Les filtres anti-spam détournent les e-mails identifiés vers le dossier Spam/Indésirable ou bloquent carrément le téléchargement de ces e-mails dans le client.
Les créateurs de Locky ont contourné ce problème en créant le botnet . Le groupe de hackers et le botnet sont appelés Nécurs . Un botnet est constitué de plusieurs ordinateurs privés infectés par un virus. Chaque appareil du botnet est appelé un « zombi .» Le virus ouvre périodiquement une connexion à un « commander et contrôler ' serveur ( C&C ), qui leur donne des instructions sur la marche à suivre.
Necurs utilise son botnet pour envoyer des e-mails. Il y a des millions d’ordinateurs dans le botnet. Ces ordinateurs peuvent être de gros serveurs d’entreprise, et Necurs a donc une grande capacité. Filtres anti-spam liste noire adresses IP sources et noms de domaine qui envoient un grand nombre d’e-mails. En répartissant la tâche d'envoi des emails, Necurs évite ce filtre. Les domaines sources indiqués dans ces e-mails sont généralement faux : ils n’ont pas besoin que les destinataires répondent, il suffit d’ouvrir la pièce jointe.
Comment fonctionne le rançongiciel Locky ?
Le même courrier indésirable, concernant une facture impayée, est envoyé à des centaines de milliers de destinataires. L'e-mail a un document Word en pièce jointe, et le message du mail incite le destinataire à l'ouvrir. Le contenu du document est inintelligible – juste un fouillis de caractères. Une popup explique que le document a été crypté et qu'appuyer sur un bouton de la popup le décodera.
Le bouton dans la fenêtre contextuelle du document active les macros dans le fichier. Ceux-ci agissent comme un téléchargeur qui ouvre une connexion au serveur C&C et télécharge un programme d'installation. Grâce à cela, le groupe Necurs dispose d'un agent sur cet ordinateur. L'appareil peut être utilisé dans le cadre du botnet ou infecté par le ransomware Locky.
Le code Locky n’est pas copié sous forme de fichier. Au lieu de cela, il est chargé directement dans mémoire . Le programme d'installation vérifie périodiquement le processus en cours et s'il ne le trouve pas, il télécharge le programme et le réexécute. Cela signifie que le programme Locky n'a pas besoin de résider sur l'ordinateur pour fonctionner. Cela va à l’encontre de l’une des méthodes de détection standard de logiciel anti-programme malveillant . Cependant, le programme d'installation lui-même doit être stocké sur l'ordinateur afin qu'un indicateur puisse être identifié. Le programme d'installation télécharge également certains fichiers .txt et .bmp à utiliser dans la demande de rançon.
Locky ne se propage pas. Il commence simplement à chiffrer les fichiers immédiatement sur l'ordinateur sur lequel il est installé. Le processus de cryptage modifie chaque nom de fichier pour avoir un identifiant composé de 16 caractères et contenant à la fois des chiffres et des lettres. Le fichier crypté a une extension différente. La première version de Locky utilisait l'extension .locky. Les versions ultérieures et les variantes utilisaient les extensions suivantes pour les fichiers cryptés :
- .zepto
- .odin
- .merde
- .thor
- .aesir
- .zzzzzz
- .osiris
La dernière version du ransomware est apparue en décembre 2016, utilisant le .osiris extension.
La demande de rançon de Locky
Locky crypte les fichiers avec deux chiffres. Ceux-ci sont AES cryptage avec une clé de 128 bits et RSA cryptage avec une clé de 2048 bits. Les clés sont générées sur le serveur Necurs et envoyées au malware Locky. Ils sont également stockés avec un code de référence.
Le cryptage n'affecte que les fichiers de données – fichiers contenant pour identifier un indicateur du texte, des images, de la vidéo ou de l'audio. Il ne crypte pas exécutable des dossiers. Ceci est important car cela signifie que vous pouvez toujours utiliser l’ordinateur. Les pirates veulent que vous payiez depuis cet ordinateur, ils ne veulent donc pas le désactiver. Le ransomware modifie l’arrière-plan du bureau de l’ordinateur infecté pour afficher la demande de rançon . Cette note est également disponible dans un fichier texte copié sur l'ordinateur.
Les instructions indiquent à la victime d'installer le navigateur Tor et de l'utiliser pour accéder au site Necurs. La note comprend également un identifiant unique, faisant référence au hit et extrayant la clé de déchiffrement correcte une fois la rançon payée. La victime doit saisir l'identifiant de l'attaque et le code Bitcoin dans un formulaire sur le site Necurs. Un décrypteur avec la clé de déchiffrement intégrée est ensuite envoyé par e-mail.
Certains ransomwares, que ce soit par une programmation de mauvaise qualité ou intentionnellement, ne fournissent pas de méthode de restauration de fichiers. Heureusement, Locky le fait. Ceux qui paient la rançon peuvent retrouver l’accès à tous leurs fichiers.
Variantes du ransomware Locky
Plusieurs mises à jour de Locky ont modifié le fonctionnement du ransomware et peuvent être identifiées par les différentes extensions utilisées pour les fichiers cryptés. Outre les changements programmatiques apportés par le groupe Necurs, deux variantes en circulation que Necurs n’a pas nécessairement produites.
PowerLocky
PowerLocky est un mélange de deux systèmes de ransomware : Verrouillage et PowerWare . Ce logiciel d'extorsion basé sur le cryptage est distribué sous la forme d'un exécutable .NET écrit en PowerShell . Il exige une rançon de 0,75 Bitcoin, ce qui, au moment où le système était actif en juillet 2016, valait 500 $. Aujourd'hui, cette valeur Bitcoin est convertie à 29 600 $.
Comme le Locky original, PowerLocky modifie les noms de tous les fichiers cryptés et leur attribue l'extension .locky. Le PowerLocky note de rançon est une copie exacte de celui utilisé par Locky.
Verrouillage
Verrouillage est apparu en août 2017. Le botnet Necurs a également distribué cette souche de Locky en pièce jointe à un envoi massif d'e-mails. ' Verrouillage ' est le finnois pour ' verrouillage .» Dans la campagne Lukitus, la pièce jointe était un fichier d'archive .zip ou .rar, et le code infectant était écrit en JavaScipt ou VBScript .
Les fichiers infectés portent l'extension .lukitus. Une fois sa tâche de chiffrement terminée, l'exécutable principal est supprimé.
Comment se protéger contre le rançongiciel Locky
Une nouvelle encourageante est que grâce aux efforts de l’équipe juridique de Microsoft, Locky ne constitue plus une menace significative. Microsoft a retracé les serveurs C&C et a menacé leurs hôtes de poursuites judiciaires, les obligeant à supprimer ces comptes en mars 2020. Ainsi, même si le malware botnet Necurs réside toujours sur des millions d’ordinateurs, les adresses IP qui y sont codées en dur pour l’interrogation des instructions n’existent plus. Au moment où Microsoft a plongé dans le couteau, Necurs avait contrôlé plus de 9 millions ordinateurs zombies.
Malgré cette bonne nouvelle, vous ne pouvez pas vous reposer sur vos lauriers à propos de Necurs et Locky : ils pourraient très facilement revenir.
La meilleure défense contre Locky est de éduquer les utilisateurs contre l’ouverture de pièces jointes dans des e-mails provenant de personnes dont ils n’ont jamais entendu parler. Il est également essentiel de conserver tous vos logiciels entièrement à jour pour arrêter les exploits et protéger votre système contre tous les types de logiciels malveillants. Vous devez également mettre en œuvre une stratégie de sauvegarde qui gère et stocke les fichiers de chaque point final séparément pour éviter les infections croisées.
Vous pouvez acheter et installer d’excellents outils pour bloquer Locky et toutes les autres marques de ransomware. En voici deux que nous vous recommandons.
1. CrowdStrike Falcon Insight (ESSAI GRATUIT)
Aperçu du faucon CrowdStrike est un ensemble d'outils de cybersécurité qui comprend à la fois des éléments sur site et dans le cloud. La partie sur site de ce système est un programme agent installé sur chaque point final. Il s'agit d'un service complet de détection et de réponse des points de terminaison, et CrowdStrike le commercialise également sous la forme d'un package autonome appelé Faucon Empêcher .
Falcon Prevent est suffisamment complet pour pouvoir continuer à protéger un appareil même lorsque isolé du réseau et ne peut pas contacter le contrôleur Insight dans le cloud. La communication entre Prevent et Insight télécharge des rapports d'activité et télécharge des instructions. Le système Insight analyse les rapports d'activités selon les dernières informations sur les menaces. La conception recherche des actions anormales plutôt que des fichiers spécifiques. Il s’agit de la méthode de détection parfaite pour Locky, qui ne dépose pas de fichier exécutable sur l’appareil ciblé. L’agent de point final exécute également cette méthode de détection, de sorte que Locky n’y jette pas un coup d’œil.
Actions correctives inclure l’isolement de l’appareil du réseau afin que les infections ne puissent pas se propager. Le système peut également commander un arrêt de l'appareil, un effacement et une restauration à partir d'une sauvegarde. Même si Locky ne compte pas sur comptes utilisateur , d’autres ransomwares le font. Falcon Insight peut suspendre les comptes d'utilisateurs suspects et bloquer l'accès aux adresses IP et domaines sur liste noire.
Falcon Insight est soutenu par CrowdStrike laboratoires de recherche et les enregistrements d'événements d'autres clients CrowdStrike. Le système de coordination d'Insight peut transmettre des informations sur les menaces à tous les appareils du réseau afin que dès qu'un point final est touché, tous les autres soient en alerte.
Vous pouvez obtenir unEssai gratuit de 15 joursde Falcon Prevent.
CrowdStrike Falcon Insight Commencez un essai GRATUIT de 15 jours
deux. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus est un système de protection des données sensibles. Ceci est particulièrement utile pour les entreprises impliquées dans le secteur de la santé, qui était une cible privilégiée de Locky. Entreprises qui suivent HIPAA Il faut veiller à ce que toutes les données des patients soient accessibles pour une utilisation appropriée et ne soient pas divulguées. Les mêmes règles s'appliquent à PCI DSS et RGPD . Les fonctionnalités de journalisation des actions du package sont adaptées à l’audit de conformité aux normes.
DataSecurity Plus parcourt d'abord le système et enregistre tous les emplacements des magasins de données. Il les documente puis analyse chaque magasin, en y catégorisant les données. Cela permet au service de concentrer la protection sur les données sensibles. Le moniteur surveille ensuite les fichiers contenant ces données et empêche leur falsification. Le système surveille également e-mails et Périphériques USB pour empêcher les virus d’entrer et les données de sortir.
Le système de protection des fichiers est appelé un Moniteur d'intégrité des fichiers ( LA FIN ). Cela déclenche une alerte lorsqu'une modification non autorisée se produit dans un fichier surveillé. Ainsi, la première tentative de chiffrement de Locky déclencherait une notification.
Le système peut être configuré pour mettre en œuvre automatiquement des actions correctives. Des exemples de ces flux de travail incluent l'arrêt d'un point final infecté, restauration de fichiers de la sauvegarde, de la suppression des processus et de la suspension des comptes d'utilisateurs.
Ce logiciel s'installe sur Serveur Windows et protège les ordinateurs exécutant le système d'exploitation Windows – les cibles de Locky.
ManageEngine DataSecurity Plus est disponible pour un 30 jours d'essai gratuit .