La pièce jointe exécutée, si les macros Microsoft Office sont activées, le malware est téléchargé et exécuté.
From: June Rojas [[email protected]]
Date: 16 February 2016 at 09:34
Subject: ATTN: Invoice J-06593788
Dear nhardy,
Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice.
Let us know if you have any questions.
We greatly appreciate your business!
June Rojas
Apache Corporation http://www.apachecorp.com


La répartition de cette campagne de Word Malicieux Invoice, la France est bien touchée mais les USA l'est encore plus.
Cette campagne est similaire à celle du Trojan Dridex.
(source Paloaltonetworks)
Le 19 Février, on note l'utilisation de fichiers zip contenant un javascript, le titre des mails est identique Unpaid Invoice #350

Les campagnes d'emails malicieux suivantes, avec des emails en français, par exemple sous couvert Free Mobile :

ou encore les attaquants jouent sur l'adresse de l'expéditeur en envoyant des emails du même domaine pour tromper les victimes.
(se reporter à la page : Les virus par email pour les techniques utilisées).
Par exemple ci-dessous, un email envoyé par @malekal.com à une de mes adresses @malekal.com pour se faire passer pour un service de scan.

Les JavaScript utilisés en pièce jointe dans les campagnes d'emails malicieux peuvent être détectés par Microsoft (souvent le lendemain de la campagne) en TrojanDropper:JS/Swabfex ou TrojanDropper:JS/Nemucod :

23 Mars la campagne d'emails malicieux est toujours aussi massive :
Certains JavaScript malicieux sont aussi détectés en JS:Locky ou JS:Agent-DTI par Avast!

Comme mentionné dans l'introduction, se protéger des scripts malicieux sur Windows permet d'empếcher l'installation du ransomware Locky comme le montre cette vidéo :
La répartition de ces campagnes Locky, la France est durement touchée (source Fortinet ):


Une fois la pièce jointe du mail malicieux ouvert, les documents de l'ordinateur vont être chiffrés et l'extension modifiée en .locky.
Le ransomware va aussi chercher à chiffrer les documents sur les disques amovibles (clefs USB, disque dur externe) mais aussi sur les ressources réseaux.
Le fond d'écran est ensuite modifié et un fichier _Locky_recover_instructions.txt contenant les instructions de paiement.
Les instructions sont disponibles en français :

!!! INFORMATION IMPORTANTE !!!!
Tous vos fichiers ont été chiffrés avec les algorithmes RSA-2048 et AES-128.
Plus d\u2019informations peuvent être trouvées ici:
http://fr.wikipedia.org/wiki/Chiffrement_RSA
http://fr.wikipedia.org/wiki/Advanced_E ... n_Standard
Déchiffrer vos fichiers est seulement possible en utilisant la clé privée et le programme
de déchiffrement se trouvant sur notre serveur secret.
Pour recevoir votre clé privée suivez l\u2019un de ces liens:
1. http://6dtxgqam4crv6rr6.tor2web.org/00B2455B6CCDCFF6
2. http://6dtxgqam4crv6rr6.onion.to/00B2455B6CCDCFF6
3. http://6dtxgqam4crv6rr6.onion.cab/00B2455B6CCDCFF6
4. http://6dtxgqam4crv6rr6.onion.link/00B2455B6CCDCFF6
Si aucune de ces adresses ne fonctionne, suivez ces instructions:
1. Téléchargez et installez le navigateur Tor: https://www.torproject.org/download/download-easy.html
2. Après son installation, démarrez-le et attendez son initialisation.
3. Tapez dans la barre d\u2019adresse: 6dtxgqam4crv6rr6.onion/00B2455B6CCDCFF6
4. Suivez les instructions du site.
!!! Votre identifiant personnel: 00B2455B6CCDCFF6 !!!

Les documents chiffrés portent l'extension .locky

Le paiement de la rançon se fait en Bitcoin, Locky Ransomware réclame 1 Bitcoin, soit environ 370 euros.

Environ un mois après, voici un exemple de détection d'un sample lorsque celui-ci est bien détecté :
SHA256: 347e130c5a2baf489561479048e7ee18a81c5fb329e3297c1da3cac5f6732dd9
Nom du fichier : 43532434.exe
Ratio de détection : 36 / 57
Date d'analyse : 2016-03-24 06:56:06 UTC (il y a 1 heure, 8 minutes)
Antivirus Résultat Mise à jour
ALYac Trojan.Ransom.LockyCrypt 20160324
AVG Pakes2_c.CAZB 20160324
AVware Trojan.Win32.Generic!BT 20160324
Ad-Aware Trojan.GenericKD.3116034 20160324
AegisLab Uds.Dangerousobject.Multi!c 20160324
AhnLab-V3 Win-Trojan/Lockycrypt.Gen 20160324
Antiy-AVL Trojan/Win32.TSGeneric 20160324
Arcabit Trojan.Generic.D2F8C02 20160324
Avast Win32:Malware-gen 20160324
Baidu Win32.Trojan.WisdomEyes.151026.9950.9995 20160324
BitDefender Trojan.GenericKD.3116034 20160324
Comodo TrojWare.Win32.Ransom.Locky.~I 20160324
Cyren W32/Trojan.UKAP-9018 20160324
DrWeb Trojan.Encoder.4207 20160324
ESET-NOD32 Win32/Filecoder.Locky.B 20160324
Emsisoft Trojan.Win32.Agent (A) 20160324
F-Prot W32/Locky.BC 20160324
F-Secure Trojan.GenericKD.3116034 20160324
GData Trojan.GenericKD.3116034 20160324
Ikarus Trojan.SuspectCRC 20160324
K7AntiVirus Trojan ( 004e11c11 ) 20160323
Kaspersky UDS:DangerousObject.Multi.Generic 20160324
Malwarebytes Ransom.Locky 20160324
McAfee RDN/Generic.atd 20160324
McAfee-GW-Edition BehavesLike.Win32.Mabezat.ch 20160323
eScan Trojan.GenericKD.3116034 20160324
Microsoft Ransom:Win32/Locky.A 20160324
Panda Trj/RansomCrypt.E 20160323
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160324
Sophos Mal/Generic-S 20160323
Symantec JS.Downloader 20160323
TrendMicro Ransom_LOCKY.KCM 20160324
TrendMicro-HouseCall Ransom_LOCKY.KCM 20160324
VIPRE Trojan.Win32.Generic!BT 20160324
ViRobot Trojan.Win32.R.Agent.188416.C[h] 20160324
nProtect Trojan/W32.Ransom.188416 20160323
Si votre Windows a été infecté par le ransomware Locky
Le ransomware Locky ne semble pas être persistent, c'est à dire qu'il ne charge pas à s'installer au démarrage de Windows pour être chargé dans le système.
Ce dernier semble chiffrer les documents, se fermer.
Néanmoins, il est conseillé de désinfecter son ordinateur.
Un Nettoyage Malwarebytes Anti-Malware peut s'avérer utile.
Téléchargez et installez Malwarebytes Anti-Malware. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
* Tutoriel MBAM version gratuite
* Tutoriel MBAM version payante
Mettez Malwarebytes Anti-Malware à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Si vous avez besoin d'aide, créé un sujet dans la partie Virus du forum : Désinfection personnalisée Malware
Récupérer les fichiers .Locky
La récupération des fichiers chiffrés par le ransomware Locky est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)
Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers
Sécuriser son Windows
Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.
Liens internes :