[Mise à jour] Les ravages du rançongiciel (ransomware)
Depuis plusieurs jours, un nouveau venu dans le monde du rançongiciel (ransomware) a fait son apparition : Locky
Vecteur "d'attaque" particulier, ce type de logiciel procède à un chiffrement des fichiers, une fois qu'un équipement se retrouve infecté. Pour retrouver l'intégrité des fichiers, les pirates vous réclament le paiement d'une rançon (très généralement en Bitcoin) afin de déchiffrer les contenus affectés.
La méthode de diffusion de ces attaques est, à ce jour, couramment pratiquée par email, auquel est attaché une facture (au format Word). Si la pièce jointe est ouverte et si les macros sont activées, les ennuis commencent : à la fois le contenu local se retrouve compromis, mais également des données sur des volumes réseau...
Voici la liste des fichiers que Locky chiffre :
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
Cerise sur le gâteau, il n'existe quasiment pas de parades une fois que vous êtes victimes, le chiffrement est effectué en AES/RSA, dans le cas de Locky.
Il y a un point, néanmoins, sur lequel on pourrait tenter de se rassurer : sous Mac OS X, le risque (de se retrouver face à ce type d'énorme problème) est à ce jour faible, comparé à Windows. Ne croyez pas non plus être à l'abri : une Preuve de concept ransomware Mac OS X à fait l'objet d'une publication.
Comment s'en prémunir ?
- Avoir des sauvegardes récentes et régulières,
- Ne pas ouvrir de pièces jointes dont vous ne connaissez/maitrisez pas la provenance,
- N'activez pas les macros au sein des documents Word, Excel et Cie dont vous ne connaissez/maitrisez pas la source,
- Maintenez vos systèmes et applications à jour.
Ces conseils ci dessus n'assurent pas à 100% que vous pourrez dormir tranquille, mais il permettent d'amoindrir les risques.
Vous l'aurez compris, les attaquants ne manquent pas d'imagination, mais prenez le temps de réfléchir aux conséquences de telles pratiques, aussi bien à titre privé, qu'en entreprise...
Mise à jour : Locky se propage aussi à travers des JavaScript, à l'intérieur de fichiers compressés (.zip). Une fois de plus, la plus grande prudence avec les pièces jointes.