Email malicieux - Ransomware Locky

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Email malicieux - Ransomware Locky

par Malekal_morte »

L'actualité autour du rançongiciel chiffreur de fichiers / Crypto-Ransomware Locky / Zepto.

Les liens malekal.com : Liens des sites de nettoyages : Les conseils de sécurité en lien avec les camapgne d'emails malicieux poussant des ransomwares :

!
Ces campagnes utilisent beaucoup de documents Word malveillants, pour tout ce qui touche aux emails malveillants avec des documents Word et Excel, lire la page : Les virus par Word et Excel (documents Office) : comment s'en protéger
Ransomware Locky en vrac

Les complètements techniques des éditeurs (en anglais) : PaloAltoNetworks, au 16 février 2016, soit le premier jour de la campagne, a enregistré 446 000 sessions dont environ 54% venaient des USA. Nous n'avons pas terminé d'entendre parler de Locky. To be continue..

Image

Les JavaScript utilisés en pièce jointe dans les campagnes d'emails malicieux peuvent être détectés par Microsoft (souvent le lendemain de la campagne) en TrojanDropper:JS/Swabfex :

Image

Se protéger des scripts malicieux sur Windows permet d'empếcher l'installation du ransomware Locky comme le montre cette vidéo :

Office et PDF malicieux en pièce jointe de mails :




Image

Kaspersky a fait une entrée sur son blog concernant le ransomware Locky : Locky: the encryptor taking the world by storm, la France est en seconde place des pays les plus touchés :

Image

D'après Trend-Micro, la France se place à 5% des emails reçus, ce qui la place dans les pays les plus touchés.
Le 14 Septembre, les solutions Trend-Micro ont bloqué plus de 298 000 emails malveillant liés aux campagnes de ransomware.
repartition-campagne-mail-locky.png
A noter que des âmes charitables "s'amusent" à supprimer les binaires Locky ou les corrompre et même parfois à remplacer par un autre binaire qui affiche un message d'alerte "Virus Alert" :

Image

Avast! détecte ces emails malicieux en FileRepMalware :




Il semblerait que les envois soit effectué depuis le botnet Necurs.
Necurs est un trojan avec des fonctionnalités de rootkit kernel-mode.
Voir aussi : Supprimer Necurs

Image

source: https://www.proofpoint.com/us/threat-in ... stribution
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky

par Malekal_morte »

PhishMe remarque que Locky utilise également PowerShell, tout comme Dridex

Téléchargement de la charge via PowerShell
Ransomware_Locky_Powershell.png
Panneau d'administration de Locky
Ransomware_Locky_admin_panel.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky

par Malekal_morte »

La fréquentation du réseau TOR a été dopée suite aux choix stratégiques des cybercriminels. Les victimes d'attaques DDoS ou de rançongiciels doivent utiliser TOR, principalement pour payer les rançons. Les criminels utilisent TOR pour dissimuler des informations concernant leurs infrastructures réelles mais aussi et surtout pour mettre à disposition de potentiels clients tout un tas de services illégaux en ligne.
onion_TOR_reseau.png
https://metrics.torproject.org/hidserv- ... -seen.html

Il est regrettable de n'avoir, à ce jour, aucune étude sérieuse "globale", sur les divers impacts appliqués à l'ensemble des acteurs de ces écosystèmes. Il est vrai qu'il serait peut-être un tantinet perturbant de constater qu'il se pourrait que ces résultats trahissent le fait que les grands gagnants soient probablement ces sociétés en charge de lutter contre les "méchants". C'est ainsi, les malheurs des uns font le bonheur des autres.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky

par Malekal_morte »

Comme les campagnes TeslaCrypt, Locky est délivré par courriels malicieux avec pièces jointes en JS.
ransomware_Locky_javascript_malicieux.png
Sujet : Unpaid Invoice #350
Message : Please see attached letter and a copy of the original invoice.

Image

Image
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky

par Malekal_morte »

Une énième analyse du Ransomware Locky par AVTest cette fois-ci : https://www.av-test.org/fileadmin/pdf/a ... alysis.pdf
La répartition de la campagne par pays.

La France est à 6%, les pays anglosaxons sont largement plus ciblés, d'où le fait que les mails soient en langue anglaise.
Campagnes_Locky_AVTest.pdf.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky

par Malekal_morte »

Nouvelle vague de Spam malicieux avec des pièces jointes zippés renfermant un JavaScript.
Si ouvert, ce dernier télécharge et installe le ransomware Locky.

Exemple d'emails malicieux :
Objet du mail :
Scanned Image
Corps du mail :
Image data in PDF format has been attached to this email.
Image

Le JavaScript malicieux :

Image

Le MD5 du fichier téléchargé est : 3F118D0B888430AB9F58FC2589207988
SHA256: f927efd7cd2da3a052d857632f78ccf04b673e2774f6ce9a075e654dfd77d940
Nom du fichier : 87h754
Ratio de détection : 2 / 55
Date d'analyse : 2016-02-24 15:40:45 UTC (il y a 1 minute)

Kaspersky UDS:DangerousObject.Multi.Generic 20160224
VBA32 suspected of Trojan.Downloader.gen.h 20160224
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky

par Malekal_morte »

Locky en chiffres :
  • 90 000 machines infectés par jour
  • 250 000 machines en 3 jours

Le Ransomware Locky est à l'origine de l'attaque contre l'hôpital Hollywood Presbyterian Medical Center's.
L'auteur a empoché la rançon de 40 btc (bitcoins) soit environ la coquette somme de $17,000 USD.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky

par Malekal_morte »

Les procédés utilisés pour diffuser à grande échelle Dridex, mentionnés sur cette page : Nouvelle Campagne Email Word Malicieux, sont actuellement utilisés pour diffuser Locky.

Image

Image

LU1785901123.js
SHA256: 1a45085e959a449637a89174b1737f4d03d7e73dd7acfa3cfb96042a735cf400
Nom du fichier : 45g456jhyfg
Ratio de détection : 3 / 55
Date d'analyse : 2016-02-25 14:07:47 UTC (il y a 0 minute)

Kaspersky UDS:DangerousObject.Multi.Generic 20160225
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160225
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 [F] 20160225
ALERTE : CERTFR-2016-ALE-001 : Depuis la mi-février 2016, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel Locky.

Dans l'actualité, Les demandes de rançons sur internet : ces menaces grandissantes font trembler toutes les autorités et va les contraindre à se mettre à la page
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky

par Malekal_morte »

Les campagnes d'emails malicieux poussant le Ransomware Locky continuent avec des zips contenant du JavaScript.

Image

Image

Image

Image

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky ( cabinetbettan.com )

par Malekal_morte »

Nouvelle vague dès le matin avec un courriel reprenant celui du Cabinet d'avocat BETTAN.

Image
SHA256: 1313e694ce64cc689184dad161282b9f5994b2ff683f59bb6ed3777856fafdda
Nom du fichier : 7ygvtyvb7niim.exe
Ratio de détection : 12 / 55
Date d'analyse : 2016-03-01 08:38:32 UTC (il y a 51 minutes)

Avira (no cloud) TR/Crypt.Xpack.414498 20160301
ESET-NOD32 a variant of Win32/Injector.CTJQ 20160301
Kaspersky Trojan-Ransom.Win32.Locky.cb 20160301
Malwarebytes Trojan.MalPack.RV 20160301
McAfee Artemis!FE5C37B0C951 20160301
McAfee-GW-Edition BehavesLike.Win32.Worm.cc 20160301
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20160301
Rising PE:Malware.Obscure/Heur!1.9E03 [F] 20160225
Symantec Suspicious.Cloud.2 20160229
TrendMicro Ransom_LOCKY.AF 20160301
TrendMicro-HouseCall Ransom_LOCKY.AF 20160301
ViRobot Trojan.Win32.S.Agent.181523[h] 20160301
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky

par Malekal_morte »

Les campagnes ne faiblissent pas... certains en anglais mais d'autres sont en bon français.
[email protected]
CONF. COMMANDE N° 204578 / HERQ89854806

Nous accuson réception de votre commande et nous vous en remercions.
Vous trouverez ci joint sa confirmation ainsi que sa date de livraison prévue.
Vous souhaitant bonne réception de la présente et restant à votre disposition,

Bien cordialement,

Le service Administration Des Ventes
Image

La détection :
SHA256: bc4ec97a4faeccb68eb1cc259029f4b301dfa8734f661e2445ae5b3a5f7b55f9
Nom du fichier : tGHSGkLz3.exe
Ratio de détection : 2 / 55
Date d'analyse : 2016-03-02 12:57:17 UTC (il y a 2 minutes)

Antivirus Résultat Mise à jour
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160302
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 [F] 20160302
Les documents Word malicieux en fichiers joints perdurent aussi.

Ces campagnes mixent JavaScript et documents Microsoft Office piégés.

Exemple : "scan_573480.doc"
Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky

par Malekal_morte »

Campagne du Ransomware Locky avec un mail xxia (une régie comptable), sujet du mail : banque.
La pièce jointe zip contenant un JavaScript.

Image

ALERTE : CERTFR-2016-ALE-001 : Depuis la mi-février 2016, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel Locky.

Dans l'actualité, Les demandes de rançons sur internet : ces menaces grandissantes font trembler toutes les autorités et va les contraindre à se mettre à la page

http://www.interieur.gouv.fr/Actualites ... -en-France
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky

par Malekal_morte »

Parmi les courriels malicieux du lundi matin :

Courriel intitulé "PDF8811015 82316.PDF" envoyé par gisele.legier@terredoccreations.com

Image
SHA256: 94202c823a3c25dd9d61af19c074338b9c02b8e9da8b6d9b897cfb4c41a93b38
Nom du fichier : 87tg7v645c.exe
Ratio de détection : 4 / 54
Date d'analyse : 2016-03-07 09:04:29 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
Bkav HW32.Packed.FCC2 20160305
McAfee-GW-Edition BehavesLike.Win32.AAEH.ch 20160307
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160307
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 [F] 20160307
Courriel intitulé "Facture Mars 2016" envoyé par france.immobilier@orange.fr

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky

par Malekal_morte »

La campagne Email malicieux du Ransomware Locky de la journée, se faisant passer pour un service de scan.
Cette campagne d'email joue sur l'émetteur pour tromper la victime.

Etant donné que pour la majorité des internautes le champs From indique vraiment qui est l'expéditeur du mail (alors qu'on peut mettre ce que l'on veut : Mail : sources et entêtes de l'enveloppe & du message.
Cela peut faire pas mal de dégâts

On notera aussi la double extension .pdf.zip

Sujet :
Image transférée de: 0033147496526
Repondre a: [email protected] <[email protected]>
Nom du peripherique: TRD
Modele de peripherique: MX-3114N
Emplacement: Non etabli

Format de fichier: PDF MMR(G4)
Resolution: 204dpi x 98dpi
Image

La détection du JavaScript malicieux :
SHA256: 51e95992b98792742110c9654e9ccefbd175570c559c3a62392a8a692895ab32
Nom du fichier : c776a385ae67a201a54859e842487c6c0c2a5a82.zip
Ratio de détection : 4 / 56
Date d'analyse : 2016-03-08 12:03:04 UTC (il y a 8 minutes)

Antivirus Résultat Mise à jour
Arcabit HEUR.JS.Trojan.b 20160308
Avira (no cloud) HEUR/Suspar.Gen 20160308
Kaspersky HEUR:Trojan-Downloader.Script.Generic 20160308
Sophos Mal/DrodZp-A 20160308
et le binaire :
SHA256: d9573132b72902d1e9401ff1d77fcd88c187b1da57b912b26ebaf0cfb1d3a46d
Nom du fichier : EjHTDj.exe
Ratio de détection : 2 / 55
Date d'analyse : 2016-03-08 12:09:52 UTC (il y a 7 minutes)

Informations comportementales
Antivirus Résultat Mise à jour
McAfee-GW-Edition BehavesLike.Win32.Sality.ch 20160308
Qihoo-360 HEUR/QVM07.1.0000.Malware.Gen 20160308
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

Re: Ransomware Locky

par Malekal_morte »

L'entrée du Ransomware Locky chez SpiderLabs et les chiffres de la campagne d'emails malicieux.
4 millions de spams sur les 7 derniers jours

Ci-dessous le graph des campagnes des 30 dernières heures, avec des pics à 200k emails.
Ransomware_Locky_ransomware.png
Le reste de l'entrée du blog est classique avec un exemple d'un mail, le JavaScript.
La page de blocage et de payement du ransomware.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »