Locky est un ransomware qui a déjà fait des ravages, notamment chez nos confrères de l'AFP. En plus de prendre ses précautions face à certains emails, on peut se protéger de ce virus... du moins en attendant qu'une nouvelle version arrive.
Les ransomwares sont des logiciels particulièrement malveillants qui chiffrent les données présentes sur l'ordinateur et demandent une rançon à son propriétaire afin de les récupérer, c'est du moins ce qui est promis. Locky est l'un d'entre eux et il touche tous les systèmes d'exploitation Windows précise le CERT-FR.
Locky : quand le diable se cache dans la pièce jointe
Pour effectuer sa sombre besogne, il doit trouver une porte d'entrée sur la machine, qui passe généralement par un email avec une pièce jointe infectée (un .doc ou .XLS dans le cas présent). C'est d'ailleurs de cette manière que Locky a infecté des ordinateurs de nos confrères de l'AFP, comme l'explique Alcino Pereira, le responsable de la sécurité des systèmes d'information de l'agence. Pour infecter son ordinateur, il suffit de lancer la pièce jointe et, même s'il ne se passe rien, c'est déjà trop tard.
Le ransomware va en effet se connecter à un serveur afin de télécharger le reste du malware qui sera en charge de chiffrer l'ensemble des périphériques de stockage (interne, externe, partage réseau, etc.). Un message vous invite alors à vous connecter à un serveur Tor afin de payer une rançon pour récupérer une clé permettant de déchiffrer vos données. La somme demandée serait de quatre bitcoins, soit l'équivalent de près de 1 500 euros au cours actuel, et ce, par poste infecté.
Bien évidemment, rien ne garantit que payer la rançon permette de récupérer vos données. En pareille situation, la plupart des spécialistes recommandent d'ailleurs de ne pas céder au chantage, ce qui est toujours plus facile à faire lorsque l'on dispose de sauvegardes.
Bref, rien de bien nouveau dans le petit monde des ransomwares, si ce n'est que Locky a connu un démarrage sur les chapeaux de roues : « Depuis la mi-février 2016, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel Locky » explique l'Agence nationale de la sécurité des systèmes d'information (SGDSN).
Prudence est mère de sûreté
Et il ne faut pas croire que cela n'arrive qu'aux autres, tout le monde peut se faire avoir à un moment donné, réfléchissez donc toujours à deux fois avant d'ouvrir un email avec une pièce jointe, la santé de vos données en dépend. « À l'AFP, nous n'y échappons pas : nous avons notre lot de postes cryptés par le ransomware. L'erreur est humaine, et recevoir un message émanant d'un cabinet d'avocats n'éveille pas la méfiance de plusieurs de nos utilisateurs » explique Alcino Pereira.
En France, Locky se cachait aussi dans de fausses factures Free Mobile par exemple. On peut également imaginer sans peine que les pirates ciblent leur message avec des données récupérées lors de fuite de données, comme ce fut le cas de Verizon récemment pour ne citer que cette société. Les attaquants disposent alors de certaines informations personnelles afin d'essayer de se faire passer pour un contact légitime.
Les pirates déploient des trésors d'ingéniosité pour parvenir à leur fin, comme le rapporte là encore l'AFP sur son blog : « Nous découvrons alors que les pirates ont trouvé un moyen pour déclencher en catimini l’envoi d’un accusé de réception dès que le mail infecté est manipulé, transféré ou détruit. Ainsi ils savent que l’adresse d’envoi est bonne, qu’il y a quelqu’un derrière. C’est vraiment très, très fort : en même temps qu’ils attaquent, ils mettent à jour leur base de cibles, pour continuer à l’avenir à attaquer toujours les mêmes personnes ».
Comment se protéger contre Locky ?
Heureusement, il existe plusieurs méthodes pour se protéger de Locky, en plus de l'hygiène que l'on devrait toujours avoir face à un email d'une provenance douteuse (éviter à tout prix d'ouvrir les pièces jointes et de cliquer sur un lien). Sur son blog, le cabinet de conseil en sécurité Lexsi donne quatre méthodes plus ou moins complexes pour bloquer ou limiter les dégâts de Locky.
La plus simple consiste à prendre les devants en créant une clé dans la base de registre avant Locky. Pour cela, il suffit de suivre quelques étapes :
- Lancer la commande Executer de Windows avec la combinaison de touches « Windows + R »
- Entrer « regedit » et valider en appuyant sur OK afin de lancer l'éditeur de registre
- Aller dans HKEY_CURRENT_USER puis dans SOFTWARE
- Cliquer sur Edition > Nouveau > Clé
- Nommer cette nouvelle clé Locky
- Effectuer un clic droit sur cette dernière, puis cliquer sur Autorisation...
- Cocher la case Refuser pour l'option Contrôle total
- Valider et quitter l'éditeur de registre
Lexsi explique en effet que si la clé est déjà présente dans le système, Locky se termine immédiatement sans autre action. On peut néanmoins supposer qu'une variante plus sophistiquée arrivera un jour, y compris pour les autres méthodes de protection décrites par la société. Il ne s'agit donc que d'une prévention, en aucun cas d'une protection définitive.
De son côté, le SGDSN a publié une (très) longue liste des URL utilisées par Locky pour télécharger ses binaires. Comme vous pouvez le constater, les adresses sont très nombreuses, mais l'agence de sécurité indique que « la mise en liste noire de ces adresses est à considérer dans le cadre d'une protection contre le rançongiciel Locky ».
Il est également possible de désactiver les macros d'Office qui sont régulièrement utilisées pour infecter une machine. Microsoft s'est d'ailleurs fendu d'un billet de blog il y a quelques jours afin d'expliquer cela en détail. Dans tous les cas, il reste d'autre manière de piéger une pièce jointe...
Quitte à enfoncer des portes ouvertes, « le CERT-FR recommande également de mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin de publier des signatures en constante évolution ». Il ajoute en outre qu'il « convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier ».
Et si je suis infecté, que faire ?
La première chose à faire est de déconnecter la machine du réseau et débrancher tous les périphériques de stockage externes afin d'éviter que le virus ne se propage sur vos autres ordinateurs. Par mesure de précaution, vous pouvez également placer tous les fichiers partagés en lecture seule afin d'éviter qu'ils ne soient chiffrés.
Si vous avez une sauvegarde saine, c'est le moment de la restaurer sur le poste infecté, en prenant soin de supprimer les mails avec les pièces jointes vérolées pour éviter un clic malheureux. Si vous en avez la possibilité et le besoin, conserver les données chiffrées au cas où un moyen de les récupérer soit découvert plus tard.
Quoi qu'il en soit, pour les spécialistes la bataille ne fait que commencer, car les ransomwares ont le vent en poupe chez les pirates, et ils devraient de plus en plus nombreux en 2016. Et effectivement, la relève est déjà là avec un nouveau ransomware : Petya. Pour rappel, la meilleure des préventions et des protections est d'éviter d'ouvrir des pièces jointes et de cliquer sur des liens provenant de personnes que l'on ne connait pas, ou dont l'email semble étrange.
Commentaires (130)
#1
La plus simple consiste à prendre les devants en créant une clé dans la base de registre avant Locky. Pour cela, il suffit de suivre quelques étapes :Lancer la commande Executer de Windows avec la combinaison de touches « Windows + R »Entre « regedit » et validez en appuyant sur OK, ce qui lancera l’éditeur de registreRendez-vous dans HKEY_CURRENT_USER puis dans SOFTWARECliquez sur Edition > Nouveau > CléNommez la LockyEffectuez un clic droit sur cette dernière, puis cliquez sur Autorisation…Cochez la case Refuser pour l’option Contrôle totaleValidez et quittez l’éditeur de registre
On aurait pu imaginer Microsoft faire une mise à jour Windows pour rajouter automatiquement cette clé sur tous les PC :/
#2
C’est Locky bad luck qui chiffre plus vite que son ombre.
#3
j’aime bien l’approche de la clé de registre (mais ça résout rien et n’est pas pérenne, on est d’accord)
" />
#4
#5
Touchés chez nous en début de semaine !!
Heureusement nous avons avons réagis très vite et perdu “seulement” une demie journée de boulot pour 2 personnes.
Mais ce qui nous a sauvé c’est en effet les sauvegardes !!
#6
Et si je suis infecté, que faire ?
Ne pas oublier de dire qu’il ne faut pas payer; ça peut paraître évident, mais certains le font encore…
#7
Très bon article :)
Ceci dit, le sous-titre se suffit à lui-même en fait ^^
#8
sinon on peut aussi utiliser mjolnir contre locky, mais ça laisse des traces sur les postes (et le bureau, voir le bâtiment)
#9
#10
En cas d’infection, envoyer au FBI des menaces terroristes, ils se chargeront de récupérer les données chiffrées
" />.
#11
Merci 
" />
" />
Après le sous titre est valable pour tellement de chose dans la vie…
#12
#13
Tiens, je viens d’aller voir mes mails et qu’est-ce que je trouve dans les spams : une fausse facture Free avec pièce jointe !
" />
Heureusement je suis sur Linux en ce moment , mais je ne vais pas cliquer dessus pour autant
#14
C’est un .doc/.xls qui utilise une faille ou un fichier exe déguisé genre file.doc.exe ?
#15
#16
Touché aussi au boulot et vive les sauvegardes.
Malgré les nombreuses “campagnes” d’informations qu’on fait, c’est toujours la même chose: “Oui je sais, mais cette fois je croyais que c’était vrai!”……
#17
Chez nous, ce ne sont pas des .DOC infectés que nous avons reçu mais des .JS
Plus redoutable que les .DOC car avec ces derniers, il faut activer les macros dans Word pour que l’infection fonctionne alors qu’avec le .JS, c’est instantané.
#18
Comment est-ce qu’un fichier bureautique, constitué de données (et pas d’un exécutable), puisse infecter une machine ? 
" />
Sont quand même super fort chez MS…
#19
#20
Non, des macros. Il faut donc répondre “Oui” à la demande d’activation des macros après ouverture du fichier.
#21
Oh oui… Vu ici sur de nombreux postes. Terrible comme un simple JS peux te pourrir une machine en quelques minutes.
Le JS va télécharger le virus en fait si j’ai bien suivi.
https://blogs.mcafee.com/mcafee-labs/locky-ransomware-rampage-javascript-downloa…
#22
As-tu déjà entendu parlé des macros ?
#23
Faut ptete flouter adresse en fr qui semble mener à une caméra ?
#24
Justement en parlant des macros. Dans la configuration d’un domaine Windows, il existe une GPO qui permet de bloquer l’exécution des macros Word (car l’un des principaud vecteurs de contaminations est un .doc) il suffit donc d’activer ce paramètre sur le domaine Windows pour les utilisateurs authentifiés pour bloquer ces exécutions de macros.
#25
#26
#27
c’est TROP simple….pardi !
" />
surtout, qu’il NE faut pas “badiner” avec le “Registre”, sinon la machine NE redémarre plus !
généralement, le lendemain….“surprise” !!!
le temps que les, nouveaux paramètres, soient pris en compte –> “..j’vous jure, j’ai RIEN fait” !!!
#28
Réfléchir, c’est trop dur pour nos utilisateurs, ils cliquent sur tout.
" />
#29
#30
De ce que j’ai pu ressortir du code qu’un INpactien nous a donné c’est qu’il télécharge un .exe qui est ensuite exécuter pour crypté les données une à une…
Un truc tout con d’une 20aines de lignes…
#31
#32
#33
http://www.dotnetspider.com/resources/19547-Run-exe-file-Java-Script.aspx
#34
Pour écrire quelque chose dans la base de registre il faut bien les droits admin ?
#35
Salut,
Ces astuces ne fonctionnent pas, la clef est Random:
https://twitter.com/malekal_morte/status/713400926845997060
https://twitter.com/jlucori/status/712910993643462656
Par contre, mettre les paramètres régionales en russe, le ransomware fait un exit (CryptoWall doit faire pareil).
Et pour le mail, faut désactiver Windows Script Host : https://www.youtube.com/watch?v=z7UdWiNkzcI
#36
C’est ce que j’allais dire, le nom pourrait être aléatoire et cela ne résoudrait pas le probléme
#37
C’est pas pour troller*, mais, dans la partie “Comment se protéger” il manque le plus évident…
" />
" />
° Passer sous Linux !
* Enfin, si un peu, beaucoup, passionnément quand même…
————————-> part très très loin
#38
Merci
" />
Quels sont les “dommages collatéraux” de la désactivation de WSH dans une utilisation quotidienne ?
#39
Comment se protéger contre Locky ?
Démarrer -> Arrêter
#40
ça vient de donner des idées à Microsoft.
La prochaine version de GWX chiffrera entièrement votre disque et vous n’aurez la clef que si vous faites l’upgrade vers W10.
#41
Par exemple, un virus js que j’ai reçu complètement offusqué et le même déoffusqué.
On vois qu’il télécharge un binaire “LTOeVLVn.exe” et l’exécute avec activeX.
#42
Tu ne réponds pas à mes questions. Je reformule :
Edit : je ne demandais pas les instructions en JS pour lancer un exe
#43
Et non, Linux est également compromis par d’autres approches :) (idem pour MacOs).
#44
#45
Vu que les virus js demandent en général d’avoir activeX (cf mon précédent commentaire) j’imagine que c’est exécuté par IE d’une manière ou d’une autre…
#46
Les Cryptolocker ne demandent pas d’être admin pour s’exécuter. Ils se contentent bien des fichiers personnels. Leur but n’est pas de rendre le système inopérable, mais juste de prendre en otage nos fichiers adorés (bureautiques, photos, etc).
Pour Linux on parle de Linux.Encoder
#47
#48
OK, vivement qu’activeX soit viré de Windows. Si j’ai bien suivi, c’est prévu.
Mais il n’y a pas une demande d’autorisation d’exécution à l’utilisateur ?
Genre “voulez-vous lancer ransomware 2.3 de source inconnue à vos risque et périls, Microsoft n’a pas pu vérifier la signature de ce logiciel…” ?
#49
Ben si tu as des appli métiers toutes pourrites qui te demande de tout désactiver 
" /> …
#50
Tu reçois en pièce jointe un zip avec un js dedans, si tu double-click sur le js tu n’as pas d’alerte, voir :https://isc.sans.edu/forums/diary/Malicious+spam+continues+to+serve+zip+archives…
#51
#52
Au hasard, un script ou un .deb dans une pièce jointe (même principe d’approche : ingénierie sociale), un logiciel corrompu (dernier en date : Transmission qui a ciblé macos. Un dérivé de Linux Encoder), une pub malicieuse non bloquée qui télécharge un fichier corrompu), etc.
Certes, on est d’accord qu’une bonne majorité d’utilisateur est censée être “avertie” mais tout le monde peut se faire avoir, même un admin (le cas de transmission à “choqué” la communauté).
Par exemple, rien ne garantie qu’un matin les dépôts de Mozilla ne soient pas compromis pendant 1h (le temps de réaction de la fondation) et diffusent un Firefox vérolé (technique utilisée pour Transmission, l’équipe de hacker a profité de l’annonce d’une mise à jour du soft).
Règle numéro 1 : ne jamais se sentir “intouchable” ;)
#53
#54
On ne peut pas grand chose contre un dépôt infecté, c’est certain (moyen facile d’infecter la plupart des postes individuels, infecter Firefox par exemple). Mais pour la façon dont les rançongiciel se répandent sur Windows, on est tranquille côté Linux (on ne récupère jamais de binaire par mail, ou de toutes façons il ne sera pas exécuté tout seul).
#55
Il me semble que le fameux fichier .js qui se trouve dans un zip n’est pas à proprement parler du JavaScript pur, mais du JScript. C’est une adaptation microsoftienne de JavaScript. Et ce bouzin permet entre autre d’exécuter du code en dehors de son navigateur préféré.
" />
https://fr.wikipedia.org/wiki/JScript
De plus, certains de mes clients qui ont été touchés nous ont signalés que l’icône ressemblait à du PDF (Alors c’est bon on y va…
)
#56
#57
Perso et au taf, j’ai résolu le problème : Je regarde même plus mes mails…
" />
#58
J’ai du mal à voir ce qui justifie un article par rapport aux autres cryptolocker…
Réfléchir avant d’ouvrir un email est une bonne idée
Bis repetitam quoi…
#59
Toi aussi, tu lis tous les sources de ta distrib avant de les compiler ?
#60
Il n’y a pas besoin de droits admin pour écrire dans HKEY_CURRENT_USER, c’est TA base de registre,
toi, monpc\xillibit.
#61
#62
La question c’est comment le choper
" /> 
" />
" />
En faite je préfère ne pas savoir
#63
#64
Je me fais pas trop de souci pour moi, mais pour mes parents par contre ça sent le drame un de ces 4…
" />
Vous les faites avec quoi vos backup sous Windows svp ?
#65
Y a-t-il un risque de transmettre ce type de virus en faisant des copies de mes données sur un os linux par cygwin avec l’outil rsync sur une partition formatée en NTFS ?
Le virus peut-il se propager d’une quelconque manière d’un pc windows à un pc linux par le réseau perso ?
Dans tous les cas faites vos sauvegardes ! ;)
#66
Xcopy pour windows vers windows et rsync (via cygwin) pour windows vers linux.
Mais il y a plein de logiciels prêts à l’emploi aussi du genre :
http://www.clubic.com/telecharger-fiche11081-cobian-backup.html
https://en.wikipedia.org/wiki/List_of_backup_software
#67
1ere erreur, il ne faut pas utiliser le compte Administrateur.
A moins d’être sur un serveur, et dans ce cas il n’y a pas d’emails à lire.
EDIT: Mais tu le sais :)
#68
Une autre question, le virus peut il sortir d’une machine virtuelle selon la configuration du réseau choisie ?
#69
Pour infecter son ordinateur, il suffit de lancer la pièce jointe et, même s’il ne se passe rien, c’est déjà trop tard.
Sérieux, il y a encore des gens qui tombent dans ce vieux piège
#70
Y’aurai pas un admin sys qui saurait configurer applocker avec office ? :/
#71
#72
Oui, si ta carte réseau virtuelle peut communiquer avec ton PC (host only) ou le réseau (bridge / nat).
" /> (mais bon, on partira du principe qu’on est “sensibilisé” si on a ce niveau d’utilisation et qu’il n’y a aucune raison d’ouvrir une pièce jointe depuis le Windows … m’enfin mieux vaut prévenir 
" />).
Mais pour cela, il faut que le compte utilisateur sur ta VM ait des droits d’écritures sur ton Pc hôte (cas si tu as des dossiers partagés en “tout le monde” pour la facilité).
Ne parlons pas d’un cas comme VMWare fusion / Parallel sur macos qui rend tous dossiers partagés vulnérables
Pour savoir si tu as des dossiers partagés :
- dans la barre d’adresse de l’explorateur windows, tapes \127.0.0.1
A savoir que les ransomware attaquent également tous périphériques USB connectés au PC (clé USB, disque dur, téléphone avec espace de stockage, etc) et les lecteurs réseau connectés (ou non car ils explorent le réseau).
Pour faire simple, sur ton compte utilisateur Windows, tout ce à quoi tu as accès (en écriture) est vulnérable.
Les ransomware ciblent tous les fichiers bureautiques, images, musique, vidéos, portefeuille bitcoin. Tous les trucs auxquels on tient quoi
#73
#74
J’ai ri, merci 
" />
#75
#76
#77
#78
#79
Comment tu fais ça ?
#80
#81
Si tu peux poster un exemple comme le mien (celui deobfuscated), je suis intéressé. Tous ceux que j’ai vu (4 ou 5 différent, tous reçu par mail) exécutent le .exe via un activeX.
#82
Sur mon PC perso j’utilise Bitdefender Internet Security 2016 avec le Protection Ransomware activé, et une liste définie de répertoires à protéger, Mes documents, images, etc. et effectivement je peux constater que lorsque certains programmes ou jeux ont besoin de faire une modif dans Mes documents, pour créer un dossier par exemple, la demande est bloquée et je dois explicitement autoriser ce programme à faire des modifs.
J’ai ça + la dernière version de MBAM Premium que je trouve excellent aussi, je me sens plutôt protégé
#83
Et pour les NAS? Si j’ai créé un dossier réseau? ?
#84
#85
… suivant les conseils d’un lecteur (Merci !), j’ai installé Remediate VBS worm, qui permet de désactiver/activer (pour Windows Update par ex) WSH (Windows Script Host) …
http://bartblaze.blogspot.fr/2014/02/remediate-vbs-malware.html
#86
#87
#88
Le contenu du mail c’est une chose ; mais malgré que l’adresse courriel de l’expéditeur soit farfelus ça ouvre quand même les pieces jointes !
Et pire quand ils ont leur propre nom en tant qu’expéditeur ( spoofing ) ; ils se disent surement “ tiens jme suis envoyé une pièce jointe , c’est quoi ? ” ………..
#89
Virer .js est simple et efficace mais dangereux.
Une mise à jour de Windows pourrait le remettre en place.
#90
Salut tout le monde !!
Je voulais vous demandez comment on fait pour accéder au BIOS de l’ ordinateur après une attaque par ransomware de type Locky ? Car on peut plus demander à son ordi l’accès au BIOS UEFI ?
Merci d’avance à ceux qui ont la réponse :)
#91
on NE le dira jamais assez, le seul “et bon” Anti virus : EST* l’utilisateur !!!
" />
la Ste. aura beau avoir “le meilleur AV. au monde”, si l’“Autorisation” est donnée –> bingo = infecté !!!
* est le restera
#92
#93
Est ce que le fait de désactiver le Windows Scripting Host empêche Windows Update de se faire sur Vista et les versions suivantes ?
#94
#95
#96
parfois, ce n’ai pas évident à faire comprendre “aux Chefs” !
" />
pour “certains”, les Boss, C’EST EUX, donc, ton avis ….
(même si t’es informaticien) !
#97
#98
#99
sympa. !!!
" />
#100
#101
Et recevoir des mails signé avec gpg, ca permet d etre sur du contenu et de l expediteur, meme si c est chiant ca permettrais s eviter ce genre de foirage !
#102
reg add HKCU\Software\Locky /f
powershell “\(key = 'HKCU:\Software\Locky'; \)acl = Get-Acl -Path \(key; \)rule = New-Object -TypeName System.Security.AccessControl.RegistryAccessRule -ArgumentList ‘Tout le monde’, ‘FullControl’, ‘Deny’; \(acl.SetAccessRule(\)rule); \(acl | Set-Acl -Path \)key”
#103
#104
Il semble que Microsoft ait tout de même fait une modification d’importance pour ce problème. Ainsi si vous avez connecté des disque réseaux sur votre session, les applications ne pourront pas accéder à ces disques réseaux connectés, il leur faudra se connecter à nouveau avec le mot de passe.
C’est tout de moins ce que j’en ai déduis puisque tout d’un coup mon logiciel de sauvegarde sur disque réseaux ne savait plus accéder au disque que j’avais connectés sur ma session, alors qu’avant ça marchait. Il a donc fallu que je me connecte au disque réseau avec le mot de passe. Par contre ensuite plus besoin d’entrer le mot de passe, il semble que le logiciel ait enregistré la procédure.
Sur Windows 10
#105
#106
#107
#108
Je me pose une question depuis un certain temps ; si on utilise OpenOffice, est-ce que ces fichiers xls ou doc ou docm sont dangereux ? Je suppose que ces malwares utilisent les macros non ? Du coup l’une des options pour se prémunir temporairement serait d’installer un OpenOffice ou dérivé similaire ?
Pour un utilisateur de gmail, utiliser le service drive et ses éditeurs client léger (déportés) doit être efficace également..
C’est vraiment un truc qui m’inquiète tant pour mes machines perso que pour le boulot, ou des milliers de TO de données sont accessibles via nos disques réseau montés en permanence… Et ya des gens qui ne sont pas des lumières en ce qui concerne la “bêtise humaine face aux pièces jointes et e-mails d’inconnus improbables”…
#109
#110
Je suppose qu’il utilise le port 80 pour télécharger l’intégralité du virus.
#111
“fait des ravages, notamment chez nos confrères de l’AFP.”
Ah ah! L’agence gouvernementale est visiblement pleine de neuneus qui ouvrent les pièces jointes!
L’article oublie de donner la meilleure solution au problème : payer.
Ainsi, pour une somme modique, vous retrouverez toutes vos données.
Après tout, on est habitué aux taxes. Celle-ci au moins aide des indépendants.
#112
Le gouvernement projette de récupérer la TVA sur Locky ; c’est un business lucratif puis c’est en Français ; ça implique sûrement d’avoir une succursale en France
#113
Un de nos client se l’ai pris , on a réussi à lui récupérer ses fichiers, mais en perdant l’arborescence et la plupart des noms de fichiers.
La démarche utilisée est celle-ci :
 http://www.iphonedeveloppeur.fr/2016/03/locky-virus-recover-encrypted-files-payi…
Par contre le client a assez vite réagi, il a téléphoné dès qu’il a compris qu’il y avait un souci (~2H) et on lui a dit d’éteindre son PC. Tous les fichiers n’étaient pas encore chiffrées.
Je pense que la technique marche aussi plus ou moins bien selon l’espace disponible sur le disque.
Avant on a testé un équivalent de extundelete pour NTFS, mais ça n’a pas fonctionné. Donc même si vous avez testé ce genre de technique je vous conseil photorec.
#114
Oui tu as raison, j’avais oublié ce détail. Malgré tout, est-ce qu’un ransomware plus évolué ne serait pas également capable de flinguer ou d’encoder le processus de récupération ..?
#115
Et ça se passe comment pour la ou les personnes qui ont créé ce ransomware ?
(Mis à part l’argent qu’elle se met en poche.)
#116
#117
#118
Ca c’est un comportement très sain : à la manière du SUDO de Linux en fait. Perso, je préfère.
#119
#120
Tu fais erreur (et je l’ai faite aussi cette erreur) : le véritable “dieu” c’est le compte SYSTEM.
#121
#122
#123
Une belle salo* tout de même les ransomware Bah le plus simple est de sauvegarder et tout remonter en cas d’attaque
#124
On ne peut se logguer en SYSTEM vu que c’est l’utilisateur noyau. Windows ne propose pas d’équivalent à “root” utilisable par un humain en fait.
#125
#126
Merci pour ces précisions
" />
#127
Non mais ensuite il y a probablement des règles de sécurités mises en places . Si je ne m’abuse, j’ai surement eu des popups de sécurités qur IE quand je testais ce truc.
" /> et autorisent l’infection
Le genre de fenêtre pour lesquelles les gens répondent oui sans hésiter
#128
#129
#130
Bonjour,
au bureau nos mails arrivent sur un poste doté uniquement du viewer word/excel.
Si une pièce jointe infectée est ainsi ouverte, le code va-t-il s’exécuter ?
Que doit-on penser de la solution de vaccin de Bitdefender http://korben.info/bitdefender-vaccin-anti-ransomware.html) ?