Locky Ransomware (extension .osiris)

Les campagnes malicieuses des crypto-ransomware (ou rançongiciel) se suivent et se ressemblent.
Après la campagne d’emails malicieux de Décembre menant au Crypto-Ransomware TeslaCrypt, une campagne assez virulente d’emails malicieux dont certains sont en langues françaises..

Locky est un crypto-ransomware, dit »Ransomware RSA-2048 and AES-128″, qui cherche à chiffrer vos documents, le but est de prendre en otage vos documents et de vous demander de payer une rançon pour récupérer l’accès à ces derniers.
Les sommes sont à payer en bitcoin et s’élèvent à environ 200 euros.

Petit tour d’horizon du virus Locky.

ransomware-logo

Distribution du ransomware Locky (extension .osiris)

Une nouvelle campagne d’emails malicieux contenant des pièces jointes Invoice au format Word a actuellement lieu.
Cette campagne est assez similaire au précédente campagne poussant le Trojan Banker Dridex, aujourd’hui, il s’agit de pousser un nouveau Crypto-ransomware du nom de Locky et vise principalement les entreprises.

Voici un exemple de ces emails malicieux :

Locky_Ransomware_Campagne_Invoice

Le corps de ces emails malicieux.
Les pièces jointes sont du type invoice_J-XXXXX.doc
Si l’internaute ouvre le document Word, une macro est executée qui permet le téléchargement et l’installation du ransomware Locky.
Ces documents malicieux sont en général détectée en W97M/Downloader ou W2000M/Downloader

Campagne Word malicieux Invoice – Locky Ransomware

Ci-dessous, on peut voir Word lancé le malware à travers ladybi.exe lors de l’ouverture du fichier invoice-J-XXXX.doc
Si les macros Office sont autorisées.

Exemple dans cette vidéo, d’une infection du Ransomware Locky à travers un fichier excel piégé, lorsqu’on active les macros :

La répartition géographique de cette campagne malicieuse – Ransomware Locky.
Celle-ci est mondiale, on peut donc estimé qu’il s’agit d’un groupe de cybercriminel très organisé.

Répartition campagne malicieuse Locky Ransomware

Autre répartition des campagnes du ransomware Locky par Fortinet.
On peut constater que la France est très visée.

 

locky_repartition_pays_fortinet locky_top10_fortinet

Par la suite, la campagne a aussi utilisé des fichiers zippés contenant des fichiers JavaScript.
De même, si l’utilisateur ouvre le zip, exécute le contenu, le malware sera téléchargé et installé.
L’utilisation de JavaScript (Trojan.Downloader.JS.Nemucod) dans les campagnes d’emails malicieux est de plus en plus courante, puisqu’en Décembre 2015, la campagne pour le ransomware TeslaCrypt en a aussi utilisé, d’où l’importante de se protéger des scripts malicieux sur Windows

Ces campagnes sont résumées sur la page : JS/TrojanDownloader.Nemucod : Ransomware

Voici quelques exemples de ces emails malicieux :
Une campagne de faux emails Free Mobile a aussi lieu, pour suivre la campagne d’email malicieux du Ransomware Locky, rendez-vous sur la page : Ransomware Locky

mais aussi de fausse commandes :

ou encore fausse facture :

Les techniques des spammers consistent donc à réutiliser des emails français de fausses commandes, factures et autres.
Du côté technique, pour tromper les victimes, on trouve :

  • L’utilisation d’un email from/de avec le domaine de la victime pour faire croire que le mail est envoyé par un collègue ou un service au sein de l’entreprise.
  • La double extension pour tromper sur la nature du fichier en pièce jointe.

Par exemple ci-dessous, un email envoyé par @malekal.com à une de mes adresses @malekal.com pour se faire passer pour un service de scan.
Pour plus d’informations, sur les techniques utilisées et les contre-mesure, rendez-vous sur la page : Les virus par emails.

Une vidéo qui montre pourquoi faut-il désactiver Windows Script Host pour se protéger contre ces emails malicieux renfermant des Trojan Downloader JavaScript :

D’après les analyses de société de sécurité, l’envoi massif de ces emails malicieux est effectué depuis le botnet du Trojan Necurs

Botnet Necurs – source : https://www.proofpoint.com/us/threat-insight/post/necurs-botnet-outage-crimps-dridex-and-locky-distribution

Le Crypto-Ransomware Locky (extension .osiris)

Rien de vraiment nouveaux du côté du Crypto-Ransomware Locky.
Une fois exécuté, le fond d’écran est modifié avec les instructions de paiement qui nécessite de se connecter au réseau TOR.
Le paiement se fait en Bitcoin.

Un fichier _Locky_recover_instructions.txt est aussi ouvert.

Crypto-Ransomware Locky

Le contenu des instructions :

!!! INFORMATION IMPORTANTE !!!!

Tous vos fichiers ont été chiffrés avec les algorithmes RSA-2048 et AES-128.
Plus d\u2019informations peuvent être trouvées ici:
http://fr.wikipedia.org/wiki/Chiffrement_RSA
http://fr.wikipedia.org/wiki/Advanced_E ... n_Standard

Déchiffrer vos fichiers est seulement possible en utilisant la clé privée et le programme
de déchiffrement se trouvant sur notre serveur secret.
Pour recevoir votre clé privée suivez l\u2019un de ces liens:
1. http://6dtxgqam4crv6rr6.tor2web.org/00B2455B6CCDCFF6
2. http://6dtxgqam4crv6rr6.onion.to/00B2455B6CCDCFF6
3. http://6dtxgqam4crv6rr6.onion.cab/00B2455B6CCDCFF6
4. http://6dtxgqam4crv6rr6.onion.link/00B2455B6CCDCFF6

Si aucune de ces adresses ne fonctionne, suivez ces instructions:
1. Téléchargez et installez le navigateur Tor: https://www.torproject.org/download/download-easy.html
2. Après son installation, démarrez-le et attendez son initialisation.
3. Tapez dans la barre d\u2019adresse: 6dtxgqam4crv6rr6.onion/00B2455B6CCDCFF6
4. Suivez les instructions du site.

!!! Votre identifiant personnel: 00B2455B6CCDCFF6 !!!

Le Ransomware Locky ne semble pas résident, c’est à dire qu’il ne cherche pas à se lancer au démarrage de Windows.
Il chiffre les documents, ouvre les instructions de paiements puis se ferme.

Le rançongiciel va aussi cherche à chiffrer les documents de tous les périphériques USB si branché (clef USB, disque dur externe) ainsi que les ressources réseaux. Si d’autres ordinateurs sont accessibles ou un NAS, les documents accessibles par l’utilisateur seront chiffrés aussi.

L’extension des documents chiffrée changent régulirement (tous les mois environ).
On a pu avoir sur la première variante .locky, puis .zepto, .odi, .thor, .aezir, .zzzzz et dernièrement .osiris
Le nom « Locky » provient, de la première utilisation de l’extension .locky

Ransomware Locky – extension .locky
Ransomware Zepto et fichiers en .zepto
Ransomware Zepto et fichiers en .zepto

Même si le crypto-Ransomware Locky/Zepto n’est pas résident, Il est tout de même conseillé de désinfecter son ordinateur.
Par exemple avec Malwarebytes Anti-Malware.

A l’heure actuelle, il n’y a pas de solution pour récupérer les documents chiffrés en .locky ou .zepto

La détection du trojan Locky à J+1
Celle-ci est excellente, les antivirus étant très bon pour récupérer les malwares par emails.
La détection ne serait pas aussi bonne si la campagne se diffusait par des WEB Exploit.
D’autre part, ici il s’agit de taper fort au moment où la campagne d’email est en cours. Les détections étaient certainement plus mauvaises.
Il suffit que le ransomware soit capable de se lancer 5 minutes sur la machine pour que le mal soit fait.

SHA256: c866dcfa95c50443ed5e0b4d2c0b63c1443ad330cb7d384370a244c6f58ce8a5
Nom du fichier : ladybi.exe.old
Ratio de détection : 29 / 55
Date d’analyse : 2016-02-17 07:20:31 UTC (il y a 3 heures, 4 minutes)
Antivirus Résultat Mise à jour
AVG Generic37.ANOD 20160217
Ad-Aware Trojan.Agent.BQLM 20160217
AegisLab Suspicious.Cloud.Gen!c 20160217
Antiy-AVL Trojan/Generic.ASMalwS.172438D 20160217
Arcabit Trojan.Agent.BQLM 20160217
Avast Win32:Malware-gen 20160217
Avira TR/Agent.53465 20160217
BitDefender Trojan.Agent.BQLM 20160217
Comodo TrojWare.Win32.Filecoder.a 20160217
DrWeb Trojan.DownLoader19.19482 20160217
ESET-NOD32 Win32/Filecoder.NFX 20160217
Emsisoft Trojan.Agent.BQLM (B) 20160217
F-Secure Trojan.Agent.BQLM 20160217
GData Trojan.GenericKD.3048231 20160217
Ikarus Trojan.Win32.Filecoder 20160217
K7AntiVirus Trojan ( 004de6971 ) 20160217
K7GW Trojan ( 004de6971 ) 20160217
Kaspersky Trojan.Win32.Yakes.pazk 20160217
Malwarebytes Ransom.Locky 20160217
McAfee Artemis!CBE75061EB46 20160217
McAfee-GW-Edition BehavesLike.Win32.BadFile.ch 20160217
MicroWorld-eScan Trojan.Agent.BQLM 20160217
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160217
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160216
Sophos Troj/Ransom-CGR 20160217
Symantec Suspicious.Cloud.5 20160216
TrendMicro Ransom_LOCKY.A 20160217
TrendMicro-HouseCall Ransom_LOCKY.A 20160217
VIPRE Win32.Malware!Drop 20160217

Microsoft le détecté en Ransom:Win32/Locky.A :
Ransom_Win32_Locky
Chez Antivir et AGVG les détections sont génériques avec respesctivements : Trojan/Agent.53465 et Cheval de Troie Generic37.ANOD
Locky_Ransomware_AVG_Cheval_Troie_Generic Locky_Ransomware_Antivir_Trojan_Agent

Récupération des fichiers .osiris

Théoriquement la récupération des fichiers .osiris n’est pas possible.
Le crypto-ransomware Locky cherche à supprimer toutes les versions précédentes de fichiers (Shadow Copies) afin de ne pas pouvoir restaurer ces derniers.
Vous pouvez tout de même tenter de récupérer ces derniers.
A lire concernant la récupération de fichiers après une attaque par un ransomware : Ransomware et récupération de fichiers

Privilégiez la récupération des fichiers par Shadow Explorer
Un fichier avec des versions précédentes avant le virus Locky.

version_precedente_avant_locky

Puis l’infection, ici l’extension utilisée est .shit

versions_precedentes_apres_locky

On constate que les versions précédentes ont été supprimées par le virus Locky.
versions_precedentes_apres_locky_2

Conclusion

Une campagne des plus classiques, assez identique au Trojan Dridex et assez facile à éviter, si on est assez attentif.
Bien entendu, ces campagnes misent sur la méconnaissance utilisateur ou étourderie.
Pour mieux sécuriser son ordinateur : Comment se protéger des scripts malicieux sur Windows et plus globalement : Comment sécuriser son ordinateur

EDIT – Vaccination Locky

On voit fleurir ci et là, des sites qui donnent comme solution des vaccinations.
Manifestement personne n’a pris le temps de tester : https://twitter.com/malekal_morte/status/713400926845997060 ou https://twitter.com/jlucori/status/712910993643462656
Le pire étant de créer une clé Locky en mettant des autorisations de refus alors que celle-ci est devenue random depuis un moment.

On voit les effets des sites de journaux qui répètent comme des perroquets et ne testent pas.
Vaccination_Locky

Vaccination_Locky_2

EDIT – Locky utilise maintenant l’extension .zepto

29/06/2016 : L’extension du ransomware Locky passe maintenant de .locky à .zepto
Voir aussi : Supprimer Zepto Ransomware

locky_extension_zepto

EDIT – Locky utilise maintenant l’extension .odin

26/11/2016 : L’extension des fichiers chiffrés par le ransomware Locky porte maintenant l’extension .odin

locky_ransomware_extension_odin

EDIT – Le Ransomware Locky utilise maintenant l’extension .shit

24/11/2016 : L’extension des fichiers chiffrés par le ransomware Locky porte maintenant l’extension .shit

locky_ransomware_shit_extension

EDIT – Le Ransomware Locky utilise maintenant l’extension .thor

25/10/2016 : L’extension des fichiers chiffrés par le ransomware Locky porte maintenant l’extension .thor

Ransomware Locky qui met les fichiers en .thor

EDIT – Le Ransomware Locky utilise maintenant l’extension .aesir

21/11/2016 – L’extension des fichiers chiffrés par le ransomware Locky porte maintenant l’extension .aesir

ransomware_aesir

EDIT – Le Ransomware Locky utilise maintenant l’extension .zzzzz

24/11/2016 – L’extension des fichiers chiffrés par le ransomware Locky porte maintenant l’extension .zzzz

locky_extension_-zzzzz

EDIT – Le Ransomware Locky utilise maintenant l’extension .osiris

05/12/2016 – L’extension des fichiers chiffrés par le ransomware Locky porte maintenant l’extension .osiris

ransomware_locky_extension_osiris

EDIT – Mars 2017 : Locky en baisse

L’activité du ransomware Locky en baisse.
Pas de nouvelle variante depuis le début de l’année, voir l’actu : Ransomware : Locky en basse

Liens autour des ransomwares

(Visité 9 459 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Tutoriel outils de réparation de WindowsTutoriel Avast!

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com