Locky Ransomware (extension .osiris)

Les campagnes malicieuses des crypto-ransomware (ou rançongiciel) se suivent et se ressemblent.
Après la campagne d’emails malicieux de Décembre menant au Crypto-Ransomware TeslaCrypt, une campagne assez virulente d’emails malicieux dont certains sont en langues françaises..

Locky est un crypto-ransomware, dit »Ransomware RSA-2048 and AES-128″, qui cherche à chiffrer vos documents, le but est de prendre en otage vos documents et de vous demander de payer une rançon pour récupérer l’accès à ces derniers.
Les sommes sont à payer en bitcoin et s’élèvent à environ 200 euros.

Petit tour d’horizon du virus Locky.

ransomware-logo

Distribution du ransomware Locky (extension .osiris)

Une nouvelle campagne d’emails malicieux contenant des pièces jointes Invoice au format Word a actuellement lieu.
Cette campagne est assez similaire au précédente campagne poussant le Trojan Banker Dridex, aujourd’hui, il s’agit de pousser un nouveau Crypto-ransomware du nom de Locky et vise principalement les entreprises.

Voici un exemple de ces emails malicieux :

Locky_Ransomware_Campagne_Invoice

Le corps de ces emails malicieux.
Les pièces jointes sont du type invoice_J-XXXXX.doc
Si l’internaute ouvre le document Word, une macro est executée qui permet le téléchargement et l’installation du ransomware Locky.
Ces documents malicieux sont en général détectée en W97M/Downloader ou W2000M/Downloader

Campagne Word malicieux Invoice – Locky Ransomware

Ci-dessous, on peut voir Word lancé le malware à travers ladybi.exe lors de l’ouverture du fichier invoice-J-XXXX.doc
Si les macros Office sont autorisées.

Exemple dans cette vidéo, d’une infection du Ransomware Locky à travers un fichier excel piégé, lorsqu’on active les macros :

La répartition géographique de cette campagne malicieuse – Ransomware Locky.
Celle-ci est mondiale, on peut donc estimé qu’il s’agit d’un groupe de cybercriminel très organisé.

Répartition campagne malicieuse Locky Ransomware

Autre répartition des campagnes du ransomware Locky par Fortinet.
On peut constater que la France est très visée.

 

locky_repartition_pays_fortinet locky_top10_fortinet

Par la suite, la campagne a aussi utilisé des fichiers zippés contenant des fichiers JavaScript.
De même, si l’utilisateur ouvre le zip, exécute le contenu, le malware sera téléchargé et installé.
L’utilisation de JavaScript (Trojan.Downloader.JS.Nemucod) dans les campagnes d’emails malicieux est de plus en plus courante, puisqu’en Décembre 2015, la campagne pour le ransomware TeslaCrypt en a aussi utilisé, d’où l’importante de se protéger des scripts malicieux sur Windows

Ces campagnes sont résumées sur la page : JS/TrojanDownloader.Nemucod : Ransomware

Voici quelques exemples de ces emails malicieux :
Une campagne de faux emails Free Mobile a aussi lieu, pour suivre la campagne d’email malicieux du Ransomware Locky, rendez-vous sur la page : Ransomware Locky

mais aussi de fausse commandes :

ou encore fausse facture :

Les techniques des spammers consistent donc à réutiliser des emails français de fausses commandes, factures et autres.
Du côté technique, pour tromper les victimes, on trouve :

  • L’utilisation d’un email from/de avec le domaine de la victime pour faire croire que le mail est envoyé par un collègue ou un service au sein de l’entreprise.
  • La double extension pour tromper sur la nature du fichier en pièce jointe.

Par exemple ci-dessous, un email envoyé par @malekal.com à une de mes adresses @malekal.com pour se faire passer pour un service de scan.
Pour plus d’informations, sur les techniques utilisées et les contre-mesure, rendez-vous sur la page : Les virus par emails.

Une vidéo qui montre pourquoi faut-il désactiver Windows Script Host pour se protéger contre ces emails malicieux renfermant des Trojan Downloader JavaScript :

D’après les analyses de société de sécurité, l’envoi massif de ces emails malicieux est effectué depuis le botnet du Trojan Necurs

Botnet Necurs – source : https://www.proofpoint.com/us/threat-insight/post/necurs-botnet-outage-crimps-dridex-and-locky-distribution

Le Crypto-Ransomware Locky (extension .osiris)

Rien de vraiment nouveaux du côté du Crypto-Ransomware Locky.
Une fois exécuté, le fond d’écran est modifié avec les instructions de paiement qui nécessite de se connecter au réseau TOR.
Le paiement se fait en Bitcoin.

Un fichier _Locky_recover_instructions.txt est aussi ouvert.

Crypto-Ransomware Locky

Le contenu des instructions :

!!! INFORMATION IMPORTANTE !!!!

Tous vos fichiers ont été chiffrés avec les algorithmes RSA-2048 et AES-128.
Plus d\u2019informations peuvent être trouvées ici:
http://fr.wikipedia.org/wiki/Chiffrement_RSA
http://fr.wikipedia.org/wiki/Advanced_E ... n_Standard

Déchiffrer vos fichiers est seulement possible en utilisant la clé privée et le programme
de déchiffrement se trouvant sur notre serveur secret.
Pour recevoir votre clé privée suivez l\u2019un de ces liens:
1. http://6dtxgqam4crv6rr6.tor2web.org/00B2455B6CCDCFF6
2. http://6dtxgqam4crv6rr6.onion.to/00B2455B6CCDCFF6
3. http://6dtxgqam4crv6rr6.onion.cab/00B2455B6CCDCFF6
4. http://6dtxgqam4crv6rr6.onion.link/00B2455B6CCDCFF6

Si aucune de ces adresses ne fonctionne, suivez ces instructions:
1. Téléchargez et installez le navigateur Tor: https://www.torproject.org/download/download-easy.html
2. Après son installation, démarrez-le et attendez son initialisation.
3. Tapez dans la barre d\u2019adresse: 6dtxgqam4crv6rr6.onion/00B2455B6CCDCFF6
4. Suivez les instructions du site.

!!! Votre identifiant personnel: 00B2455B6CCDCFF6 !!!

Le Ransomware Locky ne semble pas résident, c’est à dire qu’il ne cherche pas à se lancer au démarrage de Windows.
Il chiffre les documents, ouvre les instructions de paiements puis se ferme.

Le rançongiciel va aussi cherche à chiffrer les documents de tous les périphériques USB si branché (clef USB, disque dur externe) ainsi que les ressources réseaux. Si d’autres ordinateurs sont accessibles ou un NAS, les documents accessibles par l’utilisateur seront chiffrés aussi.

L’extension des documents chiffrée changent régulirement (tous les mois environ).
On a pu avoir sur la première variante .locky, puis .zepto, .odi, .thor, .aezir, .zzzzz et dernièrement .osiris
Le nom « Locky » provient, de la première utilisation de l’extension .locky

Ransomware Locky – extension .locky
Ransomware Zepto et fichiers en .zepto
Ransomware Zepto et fichiers en .zepto

Même si le crypto-Ransomware Locky/Zepto n’est pas résident, Il est tout de même conseillé de désinfecter son ordinateur.
Par exemple avec Malwarebytes Anti-Malware.

A l’heure actuelle, il n’y a pas de solution pour récupérer les documents chiffrés en .locky ou .zepto

La détection du trojan Locky à J+1
Celle-ci est excellente, les antivirus étant très bon pour récupérer les malwares par emails.
La détection ne serait pas aussi bonne si la campagne se diffusait par des WEB Exploit.
D’autre part, ici il s’agit de taper fort au moment où la campagne d’email est en cours. Les détections étaient certainement plus mauvaises.
Il suffit que le ransomware soit capable de se lancer 5 minutes sur la machine pour que le mal soit fait.

SHA256:c866dcfa95c50443ed5e0b4d2c0b63c1443ad330cb7d384370a244c6f58ce8a5
Nom du fichier :ladybi.exe.old
Ratio de détection :29 / 55
Date d’analyse :2016-02-17 07:20:31 UTC (il y a 3 heures, 4 minutes)
AntivirusRésultatMise à jour
AVGGeneric37.ANOD20160217
Ad-AwareTrojan.Agent.BQLM20160217
AegisLabSuspicious.Cloud.Gen!c20160217
Antiy-AVLTrojan/Generic.ASMalwS.172438D20160217
ArcabitTrojan.Agent.BQLM20160217
AvastWin32:Malware-gen20160217
AviraTR/Agent.5346520160217
BitDefenderTrojan.Agent.BQLM20160217
ComodoTrojWare.Win32.Filecoder.a20160217
DrWebTrojan.DownLoader19.1948220160217
ESET-NOD32Win32/Filecoder.NFX20160217
EmsisoftTrojan.Agent.BQLM (B)20160217
F-SecureTrojan.Agent.BQLM20160217
GDataTrojan.GenericKD.304823120160217
IkarusTrojan.Win32.Filecoder20160217
K7AntiVirusTrojan ( 004de6971 )20160217
K7GWTrojan ( 004de6971 )20160217
KasperskyTrojan.Win32.Yakes.pazk20160217
MalwarebytesRansom.Locky20160217
McAfeeArtemis!CBE75061EB4620160217
McAfee-GW-EditionBehavesLike.Win32.BadFile.ch20160217
MicroWorld-eScanTrojan.Agent.BQLM20160217
Qihoo-360HEUR/QVM07.1.Malware.Gen20160217
RisingPE:Malware.Generic/QRS!1.9E2D [F]20160216
SophosTroj/Ransom-CGR20160217
SymantecSuspicious.Cloud.520160216
TrendMicroRansom_LOCKY.A20160217
TrendMicro-HouseCallRansom_LOCKY.A20160217
VIPREWin32.Malware!Drop20160217

Microsoft le détecté en Ransom:Win32/Locky.A :
Ransom_Win32_Locky
Chez Antivir et AGVG les détections sont génériques avec respesctivements : Trojan/Agent.53465 et Cheval de Troie Generic37.ANOD
Locky_Ransomware_AVG_Cheval_Troie_Generic Locky_Ransomware_Antivir_Trojan_Agent

Récupération des fichiers .osiris

Théoriquement la récupération des fichiers .osiris n’est pas possible.
Le crypto-ransomware Locky cherche à supprimer toutes les versions précédentes de fichiers (Shadow Copies) afin de ne pas pouvoir restaurer ces derniers.
Vous pouvez tout de même tenter de récupérer ces derniers.
A lire concernant la récupération de fichiers après une attaque par un ransomware : Ransomware et récupération de fichiers

Privilégiez la récupération des fichiers par Shadow Explorer
Un fichier avec des versions précédentes avant le virus Locky.

version_precedente_avant_locky

Puis l’infection, ici l’extension utilisée est .shit

versions_precedentes_apres_locky

On constate que les versions précédentes ont été supprimées par le virus Locky.
versions_precedentes_apres_locky_2

Conclusion

Une campagne des plus classiques, assez identique au Trojan Dridex et assez facile à éviter, si on est assez attentif.
Bien entendu, ces campagnes misent sur la méconnaissance utilisateur ou étourderie.
Pour mieux sécuriser son ordinateur : Comment se protéger des scripts malicieux sur Windows et plus globalement : Comment sécuriser son ordinateur

EDIT – Vaccination Locky

On voit fleurir ci et là, des sites qui donnent comme solution des vaccinations.
Manifestement personne n’a pris le temps de tester : https://twitter.com/malekal_morte/status/713400926845997060 ou https://twitter.com/jlucori/status/712910993643462656
Le pire étant de créer une clé Locky en mettant des autorisations de refus alors que celle-ci est devenue random depuis un moment.

On voit les effets des sites de journaux qui répètent comme des perroquets et ne testent pas.
Vaccination_Locky

Vaccination_Locky_2

EDIT – Locky utilise maintenant l’extension .zepto

29/06/2016 : L’extension du ransomware Locky passe maintenant de .locky à .zepto
Voir aussi : Supprimer Zepto Ransomware

locky_extension_zepto

EDIT – Locky utilise maintenant l’extension .odin

26/11/2016 : L’extension des fichiers chiffrés par le ransomware Locky porte maintenant l’extension .odin

locky_ransomware_extension_odin

EDIT – Le Ransomware Locky utilise maintenant l’extension .shit

24/11/2016 : L’extension des fichiers chiffrés par le ransomware Locky porte maintenant l’extension .shit

locky_ransomware_shit_extension

EDIT – Le Ransomware Locky utilise maintenant l’extension .thor

25/10/2016 : L’extension des fichiers chiffrés par le ransomware Locky porte maintenant l’extension .thor

Ransomware Locky qui met les fichiers en .thor

EDIT – Le Ransomware Locky utilise maintenant l’extension .aesir

21/11/2016 – L’extension des fichiers chiffrés par le ransomware Locky porte maintenant l’extension .aesir

ransomware_aesir

EDIT – Le Ransomware Locky utilise maintenant l’extension .zzzzz

24/11/2016 – L’extension des fichiers chiffrés par le ransomware Locky porte maintenant l’extension .zzzz

locky_extension_-zzzzz

EDIT – Le Ransomware Locky utilise maintenant l’extension .osiris

05/12/2016 – L’extension des fichiers chiffrés par le ransomware Locky porte maintenant l’extension .osiris

ransomware_locky_extension_osiris

Liens autour des ransomwares

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 7 629 times, 20 visits today)

12 thoughts on “Locky Ransomware (extension .osiris)

  1. Je me suis toujours posé la question : lorsque l’on est infecté, le chiffrage de tous nos fichiers sur le disque doit prend un temps fou, non ?
    Si c’est long, on pourrait peu etre stoper la machine direct et tenter de recuperer les data ?
    En tout cas c’est cool que les AV suivent cela de pres 🙂

  2. En réponse à Rady, oui, le processus d’infection prend plusieurs minutes selon le nombre de fichiers qu’il va crypter. Mais cela va très très vite… L’arrêt de la machine permettra seulement de limiter la casse. En revanche, récupérer les data, oui mais seulement via une sauvegarde…

  3. Je confirme, en moins de 4 heures : près de 800 000 fichiers cryptés sur notre réseau d’entreprise. Tout ça à cause d’une étourderie. Je précise que c’est la version .js dans une fichier zip qui nous a infecté.

  4. Hello, recently I was infected with  » locky  » . All pictures , my documents were modified and encrypted. With the help of  » Recuva  » I managed to bring back the name back but can not decrypt . I got the virus from the mail , I was infected both PC and external HDD . PC formatted but I can not afford to lose documents on the hard disk. Do you have any solution ?
    Thank you very much.

  5. Pour déterminer la source si le virus s’attaque à une entreprise et donc aux répertoires partagés, il vous suffit de regarder les propriétés des fichiers texte ajoutés (et non ceux modifiés) par le cryptolockeur.
    Vous verrez à partir de quel nom de session le fichier a été créé (propriétaire) et ainsi déterminer la source de l’infection.

  6. Idem dans mon entreprise. Attention, il crypte aussi les lecteurs réseaux et partages… attention donc aux sauvegardes USB.

  7. Bonjour,
    connaissez-vous la liste exhaustive des extensions de fichiers pouvant être l’objet de cryptage par ce ransomware ?
    Mon idée serait de crypter moi-même mes fichiers avec un logiciel de cryptage pour les rendre inattaquables (avec une extension non ciblée)…mais ils y ont sans doute pensé !
    Merci

  8. Ce ransomware est une catastrophe. je conseille vivement les développeurs des AV de s’y mettre vivement. tous mes fichiers Excel et certains Word sont hors d’usage et irrécupérables.

  9. Bonjour,

    Hier, j’ai ouvert une pièce jointe à un mail ce qui a permis au virus aesir de s’y implanter. Les fichiers professionnels présent dans mon pc sont tous crypter.
    J’ai utiliser Malwarebytes pour supprimer le virus et j’ai suivi les instruction de Bugsfighter.com pour décrypter les fichiers et pouvoir les utiliser à nouveau mais cependant, rien n’y fait.

    Y a t’il un moyen de récupérer ces fichiers en lecture normale?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *