

Ces e-mails conduisent au rançongiciel TeslaCrypt et Locky.
Si vous suivez régulièrement malekal.com, vous êtes déjà au courant à travers nos actualités : Répartition des campagnes.
* Décembre 2015 :
* Plus récemment :


Les campagnes avec Nemucod du ransomware Locky sont très actives en France.
Comme en témoigne les chiffres de Fortinet, les entreprises françaises sont impactées.


Exemple d'une campagne Nemucod TeslaCrypt au 15 mars 2016

Non mentionné par ESET, on notera des campagnes qui diffusent les trojans Kovter ( Malware FileLess ), trojans Boaxxe et un nouveau ransomware (.crypted) qui utilise aussi les WebExploit ( @malekal_morte )

JS/TrojanDownloader.Nemucod, ransomware et antivirus gratuits
Le 9 décembre 2016, j'avais posté une démonstration de l'absence totale de protection contre TeslaCrypt avec Windows Defender. Aujourd'hui, j'ai pris soin de tester les antivirus gratuits contre ce Trojan.JS.Downloader ainsi que Locky.
Avast!, détecte la tentative d'infection en FileRepMalware

Zéro pointé pour AVG qui passe complètement à côté.

Mais au moment où le Locky manipule "vssadmin.exe" pour supprimer toutes les versions précédentes (Shadow Copies), AVG se réveil.

Je soupçonne donc une règle générale contre ce type de traitements, régulièrement utilisés par les ransomwares.
AVG détecte la menace comme "IDP.Alexa" ( ce qui ne signifie rien d'intelligible )

Antivir détecte correctement Locky en tant que "HEUR/APC (Cloud)". Une détection heuristique classique qui ne renseigne pas sur la nature de la menace. Par contre, sans rien manipuler, un second malware est téléchargé et installé Antivir se met à roupiller...

Pour ne rien changer à ses habitudes Windows Defender reste complètement à la rue...

Les fichiers sont chiffrés, Windows est ruiné, merci Windows Defender.

Les antivirus gratuits détectent les Locky pas frais mais cela ne signifie pas que vous êtes protégé tout le temps contre ce type de malware. En début de campagne, les antivirus ne sont pas capables de protéger efficacement Windows. Aucun des antivirus n'a été en mesure de détecter ce fichu Trojan.JS.Nemucod qui est pourtant à la base de toute la chaîne de l'infection !
D'habitude, Microsoft ajoute des détections contre ces trojans JavaScript mais le problème c'est qu'il y a toujours une journée de retard par rapport aux vagues de pourriels suite aux campagnes. Dernière remarque, la détection VirusTotal d'un dropper fraichement péché. Comme vous pouvez le constater sur les résultats : 2/56 alors qu'en réalité, il y en a plus qui les détectent. Ceci s'explique par le fait que les moteurs de VirusTotal fonctionnent sous Linux et n'utilisent pas l'intégralité des technologies d'un antivirus installé.
On notera que pour Antivir et Avast! (peut-être AVG), c'est essentiellement via le cloud que sont alimentées les définitions virales : on voit ici tout l'intérêt du partage dans les nuages. Windows Defender est à côté de ses pompes car il y a parfois plusieurs heures entre les détections et ajouts de nouvelles définitions.SHA256: ece07a5ff2050fd86d2517b30e509902eafa0060ed8d43a5eef116d5ec176bf9
Nom du fichier : lKwWNiDJAj.exe
Ratio de détection : 2 / 56
Date d'analyse : 2016-03-18 12:05:44 UTC (il y a 2 minutes)
Antivirus Résultat Mise à jour
Qihoo-360 QVM07.1.Malware.Gen 20160318
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 [F] 20160318
Comment se protéger des JavaScript malicieux et des rançongiciels sous Windows
Vous devez désactiver Windows Script Host, comme cela est expliqué sur ces pages : Renforcer la sécurité : Comment sécuriser mon Windows
Pourquoi faut-il désactiver Windows Script Host :
lien internes: