Locky ? .... unlucky

Locky ? .... unlucky

xavier creff xavier creff

xavier creff

Cybersecurity

Publié le 1 mars 2016
+ Suivre

S'il nous autorise ce jeu de mot hilarant, le nouveau ransomware Locky n'en est pas moins un compagnon plutôt indésirable. Diffusé à la manière de Dridex (certains iront plus loin et dirons par la même équipe), c'est à dire par mail avec pièce jointe malveillante / downloader, typiquement fichier .js, il se répand depuis plusieurs semaines à vitesse grand V.

 Un de plus me direz vous ... en effet. Celui-ci propose malgré tout quelques caractéristiques intéressantes:

  • Afin de se connecter à son architecture de contrôle et en plus des adresses IPs hardcodées dans  le binaire, il utilise comme pas mal de malwares modernes un algorithme de génération de noms de domaines qui produit quotidiennement 8 domaines. Parfait, il ne reste qu'à jouer cet algorithme   afin de les connaitre, d'autant plus simple qu'étant donné sa construction l'algo produit sur 2 jours 2 noms de domaines identiques. Et là, les (gros) problèmes commencent car les développeurs ont pris soin d'utiliser un "seed", c'est à dire un nombre qui est utilisé par l'algo et en change bien entendu les résultats. Quand on découvre que le seed est un DWORD, c'est à dire une valeur codée sur 32 bits ... on comprend tout de suite que l'univers des possibles est un tout petit peu (trop) étendu ... ça commence bien.
  • Ceci dit, le prix demandé par les pirates pour fourniture du déchiffrement est plutôt bon marché, 1 bitcoin maximum pour faire simple. Tout est relatif néanmoins, la valeur du bitcoin étant plus que  volatile. Entre 50$ et 1000$ il y a quand même un gap.
  • Enfin, une petite remarque qui vaut ce qu'elle vaut. L'outil de déchiffrement peut également être détecté comme un malware par les antivirus (ci-dessous le site de téléchargement proposé si vous êtes infectés). Autrement dit, dans l'hypothèse où Locky ne l'a pas complètement cassé lors de son installation, où il s'est mis à jour, il n'acceptera pas ce programme de déchiffrement. Ce n'est qu'une hypothèse  :-)  

Bref, le mieux reste de ne pas se faire prendre, ce qui commence par une préconisation simple: ne jamais ouvrir les pièces jointes de mails inattendus / suspects (facture, scan ...). Un lien utile, côté CERT-FR:

 http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/CERTFR-2016-ALE-001.html 

Identifiez-vous pour afficher ou ajouter un commentaire

Plus d’articles de la même personne

Tout voir

Autres pages consultées

Explorer les sujets