Le ransomware Locky continue de faire des victimes, comment se protéger

Réfléchir avant d'ouvrir un email est une bonne idée
Internet 6 min
Le ransomware Locky continue de faire des victimes, comment se protéger
Crédits : Yurchello108/iStock

Locky est un ransomware qui a déjà fait des ravages, notamment chez nos confrères de l'AFP. En plus de prendre ses précautions face à certains emails, on peut se protéger de ce virus... du moins en attendant qu'une nouvelle version arrive.

Les ransomwares sont des logiciels particulièrement malveillants qui chiffrent les données présentes sur l'ordinateur et demandent une rançon à son propriétaire afin de les récupérer, c'est du moins ce qui est promis. Locky est l'un d'entre eux et il touche tous les systèmes d'exploitation Windows précise le CERT-FR.

Locky : quand le diable se cache dans la pièce jointe

Pour effectuer sa sombre besogne, il doit trouver une porte d'entrée sur la machine, qui passe généralement par un email avec une pièce jointe infectée (un .doc ou .XLS dans le cas présent). C'est d'ailleurs de cette manière que Locky a infecté des ordinateurs de nos confrères de l'AFP, comme l'explique Alcino Pereira, le responsable de la sécurité des systèmes d'information de l'agence. Pour infecter son ordinateur, il suffit de lancer la pièce jointe et, même s'il ne se passe rien, c'est déjà trop tard. 

Le ransomware va en effet se connecter à un serveur afin de télécharger le reste du malware qui sera en charge de chiffrer l'ensemble des périphériques de stockage (interne, externe, partage réseau, etc.). Un message vous invite alors à vous connecter à un serveur Tor afin de payer une rançon pour récupérer une clé permettant de déchiffrer vos données. La somme demandée serait de quatre bitcoins, soit l'équivalent de près de 1 500 euros au cours actuel, et ce, par poste infecté.

Bien évidemment, rien ne garantit que payer la rançon permette de récupérer vos données. En pareille situation, la plupart des spécialistes recommandent d'ailleurs de ne pas céder au chantage, ce qui est toujours plus facile à faire lorsque l'on dispose de sauvegardes. 

Bref, rien de bien nouveau dans le petit monde des ransomwares, si ce n'est que Locky a connu un démarrage sur les chapeaux de roues : « Depuis la mi-février 2016, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel Locky » explique l'Agence nationale de la sécurité des systèmes d'information (SGDSN). 

Prudence est mère de sûreté

Et il ne faut pas croire que cela n'arrive qu'aux autres, tout le monde peut se faire avoir à un moment donné, réfléchissez donc toujours à deux fois avant d'ouvrir un email avec une pièce jointe, la santé de vos données en dépend. « À l'AFP, nous n'y échappons pas : nous avons notre lot de postes cryptés par le ransomware. L'erreur est humaine, et recevoir un message émanant d'un cabinet d'avocats n'éveille pas la méfiance de plusieurs de nos utilisateurs » explique Alcino Pereira.

En France, Locky se cachait aussi dans de fausses factures Free Mobile par exemple. On peut également imaginer sans peine que les pirates ciblent leur message avec des données récupérées lors de fuite de données, comme ce fut le cas de Verizon récemment pour ne citer que cette société. Les attaquants disposent alors de certaines informations personnelles afin d'essayer de se faire passer pour un contact légitime.

Les pirates déploient des trésors d'ingéniosité pour parvenir à leur fin, comme le rapporte là encore l'AFP sur son blog : « Nous découvrons alors que les pirates ont trouvé un moyen pour déclencher en catimini l’envoi d’un accusé de réception dès que le mail infecté est manipulé, transféré ou détruit. Ainsi ils savent que l’adresse d’envoi est bonne, qu’il y a quelqu’un derrière. C’est vraiment très, très fort : en même temps qu’ils attaquent, ils mettent à jour leur base de cibles, pour continuer à l’avenir à attaquer toujours les mêmes personnes ».

Comment se protéger contre Locky ?

Heureusement, il existe plusieurs méthodes pour se protéger de Locky, en plus de l'hygiène que l'on devrait toujours avoir face à un email d'une provenance douteuse (éviter à tout prix d'ouvrir les pièces jointes et de cliquer sur un lien). Sur son blog, le cabinet de conseil en sécurité Lexsi donne quatre méthodes plus ou moins complexes pour bloquer ou limiter les dégâts de Locky.

La plus simple consiste à prendre les devants en créant une clé dans la base de registre avant Locky. Pour cela, il suffit de suivre quelques étapes :

  • Lancer la commande Executer de Windows avec la combinaison de touches « Windows + R »
  • Entrer « regedit » et valider en appuyant sur OK afin de lancer l'éditeur de registre
  • Aller dans HKEY_CURRENT_USER puis dans SOFTWARE
  • Cliquer sur Edition > Nouveau > Clé
  • Nommer cette nouvelle clé Locky
  • Effectuer un clic droit sur cette dernière, puis cliquer sur Autorisation...
  • Cocher la case Refuser pour l'option Contrôle total
  • Valider et quitter l'éditeur de registre

Lexsi explique en effet que si la clé est déjà présente dans le système, Locky se termine immédiatement sans autre action. On peut néanmoins supposer qu'une variante plus sophistiquée arrivera un jour, y compris pour les autres méthodes de protection décrites par la société. Il ne s'agit donc que d'une prévention, en aucun cas d'une protection définitive. 

Locky base de registre

De son côté, le SGDSN a publié une (très) longue liste des URL utilisées par Locky pour télécharger ses binaires. Comme vous pouvez le constater, les adresses sont très nombreuses, mais l'agence de sécurité indique que « la mise en liste noire de ces adresses est à considérer dans le cadre d'une protection contre le rançongiciel Locky ».

Il est également possible de désactiver les macros d'Office qui sont régulièrement utilisées pour infecter une machine. Microsoft s'est d'ailleurs fendu d'un billet de blog il y a quelques jours afin d'expliquer cela en détail. Dans tous les cas, il reste d'autre manière de piéger une pièce jointe...

Quitte à enfoncer des portes ouvertes, « le CERT-FR recommande également de mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin de publier des signatures en constante évolution ». Il ajoute en outre qu'il « convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier ».

Et si je suis infecté, que faire ?

La première chose à faire est de déconnecter la machine du réseau et débrancher tous les périphériques de stockage externes afin d'éviter que le virus ne se propage sur vos autres ordinateurs. Par mesure de précaution, vous pouvez également placer tous les fichiers partagés en lecture seule afin d'éviter qu'ils ne soient chiffrés.

Si vous avez une sauvegarde saine, c'est le moment de la restaurer sur le poste infecté, en prenant soin de supprimer les mails avec les pièces jointes vérolées pour éviter un clic malheureux. Si vous en avez la possibilité et le besoin, conserver les données chiffrées au cas où un moyen de les récupérer soit découvert plus tard. 

Quoi qu'il en soit, pour les spécialistes la bataille ne fait que commencer, car les ransomwares ont le vent en poupe chez les pirates, et ils devraient de plus en plus nombreux en 2016. Et effectivement, la relève est déjà là avec un nouveau ransomware : Petya. Pour rappel, la meilleure des préventions et des protections est d'éviter d'ouvrir des pièces jointes et de cliquer sur des liens provenant de personnes que l'on ne connait pas, ou dont l'email semble étrange.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !