Locky .asasin (Crypto-Ransomware)

[Malekal_morte]

Locky est un Crypto-Ransomware (rançongiciel chiffreur de fichiers) apparu le 16 février 2016 via une campagne d'emails malicieux au format Word et plus tard via l'utilisation de JavaScript (d'où l'importance de se protéger des scripts malicieux sur Windows).

La pièce jointe exécutée, si les macros Microsoft Office sont activées, le malware est téléchargé et exécuté.

From: June Rojas [[email protected]]
Date: 16 February 2016 at 09:34
Subject: ATTN: Invoice J-06593788

Dear nhardy,

Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice.

Let us know if you have any questions.

We greatly appreciate your business!

June Rojas
Apache Corporation http://www.apachecorp.com

La répartition de cette campagne de Word Malicieux Invoice, la France est bien touchée mais les USA l'est encore plus.
Cette campagne est similaire à celle du Trojan Dridex.
(source Paloaltonetworks)

locky_campagne_invoice.png

Le 19 Février, on note l'utilisation de fichiers zip contenant un javascript, le titre des mails est identique Unpaid Invoice #350



Les campagnes d'emails malicieux suivantes, avec des emails en français, par exemple sous couvert Free Mobile :



ou encore les attaquants jouent sur l'adresse de l'expéditeur en envoyant des emails du même domaine pour tromper les victimes.
(se reporter à la page : Les virus par email pour les techniques utilisées).
Par exemple ci-dessous, un email envoyé par @malekal.com à une de mes adresses @malekal.com pour se faire passer pour un service de scan.



Les JavaScript utilisés en pièce jointe dans les campagnes d'emails malicieux peuvent être détectés par Microsoft (souvent le lendemain de la campagne) en TrojanDropper:JS/Swabfex ou TrojanDropper:JS/Nemucod :



23 Mars la campagne d'emails malicieux est toujours aussi massive :


Certains JavaScript malicieux sont aussi détectés en JS:Locky ou JS:Agent-DTI par Avast!



Comme mentionné dans l'introduction, se protéger des scripts malicieux sur Windows permet d'empếcher l'installation du ransomware Locky comme le montre cette vidéo :



La répartition de ces campagnes Locky, la France est durement touchée (source Fortinet ):





Une fois la pièce jointe du mail malicieux ouvert, les documents de l'ordinateur vont être chiffrés et l'extension modifiée en .locky.
Le ransomware va aussi chercher à chiffrer les documents sur les disques amovibles (clefs USB, disque dur externe) mais aussi sur les ressources réseaux.
Le fond d'écran est ensuite modifié et un fichier _Locky_recover_instructions.txt contenant les instructions de paiement.
Les instructions sont disponibles en français :

!!! INFORMATION IMPORTANTE !!!!

Tous vos fichiers ont été chiffrés avec les algorithmes RSA-2048 et AES-128.
Plus d\u2019informations peuvent être trouvées ici:
http://fr.wikipedia.org/wiki/Chiffrement_RSA
http://fr.wikipedia.org/wiki/Advanced_E ... n_Standard

Déchiffrer vos fichiers est seulement possible en utilisant la clé privée et le programme
de déchiffrement se trouvant sur notre serveur secret.
Pour recevoir votre clé privée suivez l\u2019un de ces liens:
1. http://6dtxgqam4crv6rr6.tor2web.org/00B2455B6CCDCFF6
2. http://6dtxgqam4crv6rr6.onion.to/00B2455B6CCDCFF6
3. http://6dtxgqam4crv6rr6.onion.cab/00B2455B6CCDCFF6
4. http://6dtxgqam4crv6rr6.onion.link/00B2455B6CCDCFF6

Si aucune de ces adresses ne fonctionne, suivez ces instructions:
1. Téléchargez et installez le navigateur Tor: https://www.torproject.org/download/download-easy.html
2. Après son installation, démarrez-le et attendez son initialisation.
3. Tapez dans la barre d\u2019adresse: 6dtxgqam4crv6rr6.onion/00B2455B6CCDCFF6
4. Suivez les instructions du site.

!!! Votre identifiant personnel: 00B2455B6CCDCFF6 !!!

Les documents chiffrés portent l'extension .locky



Le paiement de la rançon se fait en Bitcoin, Locky Ransomware réclame 1 Bitcoin, soit environ 370 euros.



Environ un mois après, voici un exemple de détection d'un sample lorsque celui-ci est bien détecté :

SHA256: 347e130c5a2baf489561479048e7ee18a81c5fb329e3297c1da3cac5f6732dd9
Nom du fichier : 43532434.exe
Ratio de détection : 36 / 57
Date d'analyse : 2016-03-24 06:56:06 UTC (il y a 1 heure, 8 minutes)

Antivirus Résultat Mise à jour
ALYac Trojan.Ransom.LockyCrypt 20160324
AVG Pakes2_c.CAZB 20160324
AVware Trojan.Win32.Generic!BT 20160324
Ad-Aware Trojan.GenericKD.3116034 20160324
AegisLab Uds.Dangerousobject.Multi!c 20160324
AhnLab-V3 Win-Trojan/Lockycrypt.Gen 20160324
Antiy-AVL Trojan/Win32.TSGeneric 20160324
Arcabit Trojan.Generic.D2F8C02 20160324
Avast Win32:Malware-gen 20160324
Baidu Win32.Trojan.WisdomEyes.151026.9950.9995 20160324
BitDefender Trojan.GenericKD.3116034 20160324
Comodo TrojWare.Win32.Ransom.Locky.~I 20160324
Cyren W32/Trojan.UKAP-9018 20160324
DrWeb Trojan.Encoder.4207 20160324
ESET-NOD32 Win32/Filecoder.Locky.B 20160324
Emsisoft Trojan.Win32.Agent (A) 20160324
F-Prot W32/Locky.BC 20160324
F-Secure Trojan.GenericKD.3116034 20160324
GData Trojan.GenericKD.3116034 20160324
Ikarus Trojan.SuspectCRC 20160324
K7AntiVirus Trojan ( 004e11c11 ) 20160323
Kaspersky UDS:DangerousObject.Multi.Generic 20160324
Malwarebytes Ransom.Locky 20160324
McAfee RDN/Generic.atd 20160324
McAfee-GW-Edition BehavesLike.Win32.Mabezat.ch 20160323
eScan Trojan.GenericKD.3116034 20160324
Microsoft Ransom:Win32/Locky.A 20160324
Panda Trj/RansomCrypt.E 20160323
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160324
Sophos Mal/Generic-S 20160323
Symantec JS.Downloader 20160323
TrendMicro Ransom_LOCKY.KCM 20160324
TrendMicro-HouseCall Ransom_LOCKY.KCM 20160324
VIPRE Trojan.Win32.Generic!BT 20160324
ViRobot Trojan.Win32.R.Agent.188416.C[h] 20160324
nProtect Trojan/W32.Ransom.188416 20160323

Si votre Windows a été infecté par le ransomware Locky

Le ransomware Locky ne semble pas être persistent, c'est à dire qu'il ne charge pas à s'installer au démarrage de Windows pour être chargé dans le système.
Ce dernier semble chiffrer les documents, se fermer.
Néanmoins, il est conseillé de désinfecter son ordinateur.
Un Nettoyage Malwarebytes Anti-Malware peut s'avérer utile.


Téléchargez et installez Malwarebytes Anti-Malware. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
* Tutoriel MBAM version gratuite
* Tutoriel MBAM version payante

Mettez Malwarebytes Anti-Malware à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.

Si vous avez besoin d'aide, créé un sujet dans la partie Virus du forum : Désinfection personnalisée Malware

Récupérer les fichiers .Locky

La récupération des fichiers chiffrés par le ransomware Locky est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers

Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.

Liens internes :

• Campagne Locky Ransomware
• Actualité autour du ransomware Locky
• Supprimer le virus Locky (supprimer-trojan.com)
• Supprimer Ransom:Win32/Locky (supprimer-virus.com)

[Malekal_morte]

Actualité et faits marquant autour du Ransomware Locky :

• 1er Avril 2016 : les campagnes continuent, nous en relatons le contenu sur le topic Campagne email malicieux : Ransomware Locky
• 17 Avril : AutoLocky - un copycat du ransomware Locky

Kaspersky a fait une entrée sur son blog concernant le ransomware Locky : Locky: the encryptor taking the world by storm, la France est en seconde place des pays les plus touchés :

[Malekal_morte]

Modification importante de la campagne le 6/7 Avril 2016.
Les mails malicieux contenant des documents Word malicieux poussent le ransomware, mais auss ides stealers comme :

• Dridex
• Fareit
• Trojan-PSW.Win32.Minari

Ce pack se nomme RockLoader.

Il est donc fortement conseillé de changer ses mots de passe, si vous avez été infecté.





Lire aussi Locky continue email campaign innovation, introduce new RockLoader

[Malekal_morte]

Fin Avril, Les campagnes du Ransomware Locky toujours actives.

Microsoft en détecté parfois avec une détection Ransom:Win32/Locky.A


mais en laisse aussi passé, dans une même campagne :

[Malekal_morte]

Un fichier d'instructions HTML _HELP_instructions.html est maintenant installé par le ransomware Locky.

[ѠOOT]

Petit mot sur les grattes-papiers qui "news" sur les "hackers" qui "hacked" du cybershit..
http://www.theregister.co.uk/2016/05/05 ... rk_hacked/

BaTGuYz : L'attaquant vérifie de manière automatisée la présence de vulnérabilités connues exploitables sur des portails de eCommerce (ex: Magento, Opencart, Bitrix,..). Les serveurs web qui hébergent, à l'insu des propriétaires légitimes, les binaires de Locky sont donc tous compromis. L'exploitation réussie, l'attaquant dépose un webshell en PHP nommé WSO afin de piloter facilement le serveur depuis une page web. L'attaquant laisse la porte dérobée active sur le serveur web. Un code d'accès est nécessaire pour l'utiliser.

WHiTeCaT : L'emplacement du webshell n'est pas aléatoire et le code d'accès non plus. Concrètement ça signifie que le pseudo-justicier qui découvre ces éléments pourra lui aussi automatiser les retraits de tous les binaires Locky via la backdoor. Pour connaitre l'emplacement et le code d'accès, c'est trivial. D'une part, il arrive souvent que la faille utilisée au départ ne soit pas colmatée donc le pseudo-justicier n'a qu'à l'utiliser. D'autre part, si vous avez des pots de miel, cette tâche ne sera guère compliquée. Une fois le nom de la backdoor en poche ( ex: config.php, thumbs.php, .. ) vous pouvez attaquer hors-ligne par force brute le hash MD5 du WSO et par exemple découvrir que c'est celui par défaut à savoir "root". Voilà pourquoi, vous avez des messages "STUPID LOCKY", "MAKE LOVE NOT MALWARE", ... et dire que ça occupe les médias, ça tRoU L'cULz ;)



D'autres têtes en l'air sont actifs, c'est le cas de ce groupe spécialisé OpenCart.
Leurs URLs sur serveurs compromis contiennent toujours un répertoire "/.../"
Voici un exemple concret : http://vxvault.net/ViriFiche.php?ID=30268

$file = isset($_GET['f']) ? $_GET['f'] : "";
La variable "f" n'est pas filtrée correctement, c'est une vulnérabilité de type LFI.
Une requête en méthode GET sur la variable "f" permet d'obtenir n'importe quel fichier.

On y remarque qu'il y a d'amusantes exclusions.

Code : Tout sélectionner

    if (0 === strpos($c_code, "CN")) exit;
    if (0 === strlen($ua)) exit;
    if (0 === strpos($ip, "173.245.81.")) exit;
    if (false !== strpos($ua, "virustotal")) exit;

Pendant ce temps en Californie...

Locky has moved from using simple encoding to obfuscate
its network traffic (C2) to a complex encryption algorithm using
hardware instructions (opcodes) that are VERY hard to crack.

Liens connexes:
→ https://www.fireeye.com/blog/threat-res ... lever.html
→ https://labsblog.f-secure.com/2016/05/1 ... ocky-host/
→ https://blog.cylance.com/locky-holds-wo ... -to-ransom

[ѠOOT]

Everyone knows Locky!! Time has come, new Ransomware is arrived.

Goliath

Goliath is a new generation Ransomware. It was developed from source code of locki. It consists of two parts, the ransomware and the trojan. Plus it limits the use of server.

The aim is to allow the beginner to use a Ransomware.

You don't have to be experienced to be able to master it; you need to follow the tutorial.

Summary:
- You can download the contents of a computer
- You can lock or unlock a computer with a single click
- You can easily make an infected file

It is not well known
You have to use a VPN
Only windows version
You need to have a good computer (Graphic card is very important)

Price : 2100$

Goliath, actuellement vendu 2100$ USD, s'annonce comme le rançongiciel nouvelle génération.





Goliath en relation avec Jigsaw ?

Liens connexes:
→ http://www.bleepingcomputer.com/news/se ... to-jigsaw/

[Malekal_morte]

La page pour déchiffrer les fichiers locky est passé de "Locky Decryptor" à "Bart Decryptor"

Bart_Decryptor.png

[Malekal_morte]

Locky utilise maintenant l'extension .zepto pour chiffrer les documents.
Voir aussi : Supprimer Zepto Ransomware



Talos Cisco, a publié une analyse de cette campagne zepto sur son blog :
http://blog.talosintel.com/2016/06/gott ... paign.html

+135 000 emails auraient été envoyés pour pousser le ransomware Zepto :

Zepto_Ransoware.png

Liens connexes (ѠOOT):
→ ( April 28, 2016 ) Locky ransomware spreads via flash and windows kernel exploits
→ ( July 13, 2016 ) Locky ransomware now has a new offline mode
→ ( August 14, 2016 ) Locky ransomware spotted in the Brazilian underground market, uses Windows Script Files (WSF)
→ ( August 29, 2016 ) Locky ransomware now downloaded as an encrypted DLLs
→ ( September 02, 2016 ) Ransomware-as-a-Service: Ransomware operators find ways to bring in business
→ ( September 08, 2016 ) Zepto ransomware now introduces new features to better encrypt your files
→ ( September 12, 2016 ) Locky NSIS-based ransomware is embracing its new end of summer shape
→ ( September 14, 2016 ) Locky distributor uses newly released "Quant Loader" sold on russian underground
→ ( September 14, 2016 ) Locky ransomware goes on Stealth Autopilot
→ ( September 15, 2016 ) Zepto ransomware now introduces new features to better encrypt your files
→ ( September 16, 2016 ) Locky ransomware hides inside packed DLLs
→ ( October 13, 2016 ) LockyDump - All Your Configs Are Belong To Us
→ ( October 13, 2016 ) LockyDump Source - (configuration extractor)
→ ( October 24, 2016 ) Pumpkin Spiced Locky
→ ( November 28, 2016 ) ImageGate: Distributing Locky through images via Social Networks

[Malekal_morte]

L'extension des fichiers chiffrés par le ransomware Locky porte maintenant l'extension .odin

[Malekal_morte]

Locky utilise maintenant l'extension .shit
Les fichiers instructions deviennent "_What_is.html"

[Malekal_morte]

Locky utilise maintenant l'extension .thor pour chiffrer les fichiers.

[Malekal_morte]

Le ransomware Locky est maintenant passé à l'extension .aesir

ransomware_aesir.png

[Malekal_morte]

Vu passer une variante avec l'extension de fichiers .zzzzz et le fichier d'instructions _1-INSTRUCTION.html.

Locky_extension_.zzzz.png

[Malekal_morte]

Le ransomware Locky utilise maintenant l'extension .osiris
Les fichiers d'instructions : DesktopOsiris.bmp et DesktopOsiris.html

Ransomware_Locky_extension_osiris_WT.png