{"id":2438,"date":"2017-05-01T17:29:49","date_gmt":"2017-05-01T15:29:49","guid":{"rendered":"http:\/\/lmgn.fr\/?p=2438"},"modified":"2017-05-01T17:37:45","modified_gmt":"2017-05-01T15:37:45","slug":"locky-revient-a-travers-une-nouvelle-campagne-de-spam","status":"publish","type":"post","link":"https:\/\/www.lmgn.fr\/?p=2438","title":{"rendered":"Locky revient \u00e0 travers une nouvelle campagne de spam"},"content":{"rendered":"<div class=\"entry-excerpt\">\n<p>Le ransomware Locky tente une nouvelle perc\u00e9e \u00e0 travers une campagne de spam et un mode op\u00e9ratoire aujourd\u2019hui d\u00e9pass\u00e9.<\/p>\n<\/div>\n<div class=\"entry-content\">\n<div class=\"pf-content\">\n<p>Apr\u00e8s plusieurs semaines de silence, la propagation du ransomware Locky reprend du service \u00e0 travers une nouvelle campagne de spam, alerte <a title=\"\" href=\"https:\/\/myonlinesecurity.co.uk\/the-return-of-locky-ransomware-with-fake-receipts-malspam\/\" target=\"_blank\" rel=\"noopener noreferrer\">My Online Security<\/a> qui reproduit le contenu d\u2019un message re\u00e7u le 21 avril dernier. Les PME sont particuli\u00e8rement vis\u00e9es alors que l\u2019objet de l\u2019e-mail \u00e9voque un re\u00e7u de paiement qui se pr\u00e9sente sous les intitul\u00e9s \u00ab\u00a0Receipt\u00a0\u00bb, \u00ab\u00a0Payment\u00a0\u00bb ou encore \u00ab\u00a0Payment Receipt\u00a0\u00bb suivi d\u2019un nombre g\u00e9n\u00e9r\u00e9 al\u00e9atoirement.<\/p>\n<p>L\u2019e-mail s\u2019accompagne d\u2019un fichier PDF dont l\u2019intitul\u00e9 ne fournit aucun indice quant \u00e0 son contenu (P2724.pdf, par exemple). Si le destinataire de la missive a la mauvaise id\u00e9e de cliquer sur la pi\u00e8ce jointe, le document qui s\u2019affiche invite ce dernier \u00e0 ouvrir un document Word ou Excel embarqu\u00e9. Un mode op\u00e9ratoire des plus suspects pour le moins. Surtout lorsque s\u2019affiche un message invitant \u00e0 autoriser le logiciel \u00e0 \u00e9diter le contenu du document (en cliquant sur le bouton qui apparait alors en haut de la page) sous pr\u00e9texte que celui-ci a \u00e9t\u00e9 cr\u00e9\u00e9 avec une version plus r\u00e9cente de l\u2019\u00e9diteur que celle install\u00e9e sur la machine. Microsoft a en effet mis en place cette demande d\u2019ex\u00e9cution pour justement lutter contre l\u2019ex\u00e9cution automatique de macro malveillante. Une \u00e9tape suppl\u00e9mentaire qui n\u00e9cessite une interaction de l\u2019utilisateur cens\u00e9e limiter les risques d\u2019infection (sauf si l\u2019ex\u00e9cution des macros est configur\u00e9e pour d\u00e9marrer automatiquement).<\/p>\n<h2>Paiement incontournable<\/h2>\n<p>Effectivement, le fichier Office contient une macro qui t\u00e9l\u00e9charge le fichier ex\u00e9cutable redchip2.exe qui n\u2019est autre que Locky. Le fichier est en tout cas qualifi\u00e9 comme tel par une quarantaine d\u2019\u00e9diteurs d\u2019antivirus sur les 60 r\u00e9f\u00e9renc\u00e9s par <a title=\"\" href=\"https:\/\/www.virustotal.com\/en\/file\/4ebc124c7e19c2a87f911e9972f365f6fd0ef1532981a828b085e0a6bac2e310\/analysis\/\" target=\"_blank\" rel=\"noopener noreferrer\">VirusTotal<\/a>. Une fois t\u00e9l\u00e9charg\u00e9, le script s\u2019ex\u00e9cute automatiquement et commence le chiffrement des fichiers du disque dur qui h\u00e9ritent alors de l\u2019extension .OSIRIS. Esp\u00e9rons que cette suite de manipulations datant d\u2019une \u00e9poque ant\u00e9diluvienne dans l\u2019histoire de l\u2019informatique aura mis la puce \u00e0 l\u2019oreille de l\u2019utilisateur qui \u00e9vitera ainsi de tomber dans le panneau.<\/p>\n<p>Si, malgr\u00e9 l\u2019ensemble des obstacles qui se dressent sur sa route Locky parvient \u00e0 ses fins, sa victime en est alors inform\u00e9e par un message qui indique que <em>\u00ab\u00a0tous vos fichiers ont \u00e9t\u00e9 chiffr\u00e9s en RSA-2048 et AES-128. [\u2026] Le d\u00e9cryptage de vos fichiers n\u2019est possible qu\u2019avec la cl\u00e9 priv\u00e9e et le programme de d\u00e9cryptage qui se trouvent sur notre serveur secret\u00a0\u00bb<\/em>. Suit un mode d\u2019emploi pour installer le navigateur Tor et une adresse du r\u00e9seau d\u2019anonymisation qui demande le paiement d\u2019une ran\u00e7on en bitcoins en \u00e9change de la cl\u00e9 de d\u00e9chiffrement. A moins d\u2019avoir fait une sauvegarde de ses donn\u00e9es, l\u2019utilisateur n\u2019aura d\u2019autre choix que de payer s\u2019il veut esp\u00e9rer les r\u00e9cup\u00e9rer (sans aucune garantie de service pour autant). Il n\u2019existe, pour l\u2019heure, aucun outil gratuit de d\u00e9chiffrement de Locky.<\/p>\n<\/div>\n<p>Source :\u00a0<a href=\"http:\/\/www.silicon.fr\/locky-revient-a-travers-une-nouvelle-campagne-de-spam-173025.html\">http:\/\/www.silicon.fr\/locky-revient-a-travers-une-nouvelle-campagne-de-spam-173025.html<\/a><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Le ransomware Locky tente une nouvelle perc\u00e9e \u00e0 travers une campagne de spam et un mode op\u00e9ratoire aujourd\u2019hui d\u00e9pass\u00e9. Apr\u00e8s plusieurs semaines de silence, la propagation du ransomware Locky reprend du service \u00e0 travers une nouvelle campagne de spam, alerte My Online Security qui reproduit le contenu d\u2019un message re\u00e7u le 21 avril dernier. Les PME sont particuli\u00e8rement vis\u00e9es alors que l\u2019objet de l\u2019e-mail \u00e9voque un re\u00e7u de paiement qui se pr\u00e9sente sous les intitul\u00e9s \u00ab\u00a0Receipt\u00a0\u00bb, \u00ab\u00a0Payment\u00a0\u00bb ou encore \u00ab\u00a0Payment Receipt\u00a0\u00bb suivi d\u2019un nombre g\u00e9n\u00e9r\u00e9 al\u00e9atoirement. L\u2019e-mail s\u2019accompagne d\u2019un fichier PDF dont l\u2019intitul\u00e9 ne fournit aucun indice quant \u00e0 son <\/p>\n","protected":false},"author":2,"featured_media":2439,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/posts\/2438"}],"collection":[{"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2438"}],"version-history":[{"count":1,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/posts\/2438\/revisions"}],"predecessor-version":[{"id":2440,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/posts\/2438\/revisions\/2440"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/media\/2439"}],"wp:attachment":[{"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2438"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2438"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2438"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}