5/5 - (1 vote)

Alerte : Campagne de messages électroniques du ransomware Locky

Depuis la fin juillet 2018, le CERT-FR constate une nouvelle campagne de courriels distribuant le rançongiciel Locky touchant actuellement la France. Les messages sont accompagnés d’un lien hypertexte encourageant à télécharger la facture d’une commande.

Le taux de blocage par les passerelles anti-pourriel est relativement faible. Un rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l’utilisateur. La victime est ensuite invitée à verser de l’argent afin que l’attaquant déchiffre les fichiers ciblés.

Dans le cadre de cette campagne, et d’après les échantillons que le CERT-FR a observés, la diffusion de Locky Locker s’effectue par l’intermédiaire d’un pourriel dans lequel se trouve un lien pour télécharger une facture. La facture téléchargée est une archive zip dans une autre archive zip contenant un exécutable.

Dans les échantillions que le CERT-FR a pu observé, l’objet du message est “Nous avons reçu votre paiement.”. (Sources)


Locky est un ransomware ou rançongiciel qui chiffre vos fichiers et qui vous réclame une rançon à payer les déchiffrer. Les concepteurs du ransomware Dridex en 2015 seraient à l'origine de Locky. Il a la particularité de posséder des méthodes de propagation évolutives dans le temps. Il se propage par mail contenant une pièce jointe malware, et se transmets via un botnet. Le rançongiciel Locky se propage par le biais de fichiers compressés (Zip) malveillants et via des campagnes de spam par courriel. Avec l'utilisation de application universelle PowerShell Windows, les fichiers de raccourci LNK peuvent installer le rançongiciel en automatisant les opérations d'infection.

Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de dé-bridage soit envoyé à la victime en échange d'une somme d'argent mais sans véritable garantie. De nombreuses solutions de sécurité résidentes assurent une protection en temps réel contre les rançongiciels. Mais les gangs font régulièrement évoluer leur ransomwares pour contrer les clés de déchiffrement proposées. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et ne donnent pas la clé de déchiffrement après la rançon payée. Généralement les experts en sécurité et les autorités judiciaires préconisent de ne pas payer la rançon demandée.

A propos de l'auteur

Retour en haut