Le ransomware Locky est distribué via des spams contenant des pièces jointes infectées et des liens vers des sites web malveillants. Cette nouvelle souche de ransomware utilise l’extension de fichier .locky lorsque tous vos fichiers importants ont été chiffrés.

Alors que nous entrons dans le deuxième trimestre de 2016, les demandes de rançon distribuées par le biais des spams de fausses factures continuent de faire les gros titres en matière de sécurité informatique. De nouvelles souches apparaissent chaque jour et leurs méthodes d’infection changent. Le dernier-né, Locky, tente de brouiller de nombreux fichiers sur tous les disques qu’il peut trouver. Cela inclut les lecteurs amovibles, les partages réseau et les lecteurs mappés sous Windows, Linux ou MAC OSX.

Comme pour tous les ransomwares, vous ne pouvez déchiffrer vos fichiers qu’une fois que vous avez payé la rançon. Les victimes sont invitées à visiter le dark-web et à payer les escrocs en bitcoins, après quoi la clé de déchiffrement est fournie.

Cela dit, l’attaque semble similaire à celles des autres ransomwares. La différence ici est la façon dont le logiciel malveillant est distribué.

La principale source d’infection est spam, la plupart du temps déguisé en fausses factures. La pièce jointe est un document Word contenant le vénérable vieux porteur de virus : la macro. C’était la méthode de prédilection des auteurs de virus à la fin des années 1990 et, en tant que telle, elle avait été reléguée à l’histoire une fois que Microsoft avait pratiquement désactivé la fonction d’exécution automatique.

Toutefois, avec Locky, le destinataire est invité à activer l’édition dans le document, ce qui permet l’exécution du malware. Cette pratique a été assez efficace pour persuader le lecteur innocent de cliquer sur le bouton jaune « Enable Editing ».

Une fois la macro exécutée, elle télécharge le ransomware, qui commence alors le chiffrement de tous vos précieux fichiers.

Les campagnes de spams Locky sont bien pourvues en ressources

Des rapports suggèrent que les campagnes de spams de Locky étaient bien financées, à une échelle beaucoup plus grande que la plupart des autres attaques. De nombreux e-mails avaient un sujet qui commençait par « ATTN: Invoice… » ou « Tracking documents ».

Le malware s’est répandu très rapidement — ce qui a surpris de nombreux éditeurs de logiciels antivirus — et a frappé des entreprises qui n’avaient aucune politique de mises à jour régulières et fréquentes de leur sécurité informatique.

Les victimes ont reçu un message de ce type sur leurs ordinateurs :

Malgré sa notoriété, le ransomware n’est qu’un autre type de malware qui menace les données de votre entreprise, votre réputation ou votre solde bancaire. Ce qui est inquiétant, c’est le fait que les criminels utilisent des escroqueries de plus en plus convaincantes pour persuader leurs victimes d’ouvrir des pièces jointes malveillantes ou de suivre des liens vers des sites web douteux.

Malgré toutes les informations et les avertissements destinés à rendre les utilisateurs d’ordinateurs méfiants face aux e-mails non sollicités, les cybercriminels trouvent davantage de moyens efficaces qui rendent leurs messages aussi légitimes et innocents que possible.

Les campagnes de spam semblent aujourd’hui plus localisées, c’est-à-dire qu’elles sont lancées dans le pays ou même la région de la victime. Les sujets sont familiers et le message, ainsi que la pièce jointe, prétendent concerner les processus et les services communs au destinataire. Les e-mails provenant des entreprises, des services publics, des organisations partenaires et des fournisseurs légitimes sont couramment utilisés pour tromper les gens à ouvrir le document ou à cliquer sur le lien fourni. Même la personne la mieux informée et intentionnée pourrait donc être dupée.

Tout cela signifie qu’un simple antivirus et une base d’utilisateurs bien informés ne suffisent plus pour vous protéger et pour protéger vos données.

Mieux vaut donc prévenir que guérir, surtout lorsque la guérison ne sera pas possible sans payer les criminels.

Votre meilleure protection est un ensemble de défenses à plusieurs niveaux

Vous ne pouvez plus vous fier à un ou deux systèmes pour vous protéger d’un attaquant déterminé. Au lieu de cela, vous devriez disposer de plusieurs systèmes pour défendre à nouveau les multiples « vecteurs d’attaque » pouvant être utilisées par les criminels.

Jetons un coup d’œil aux solutions que vous devriez mettre en place :

Sauvegarde

C’est votre dernière ligne de défense contre les ransomwares.

Les sauvegardes hors site vous sauveront non seulement en cas d’attaque de malwares, mais aussi dans de nombreuses situations désastreuses.

Utilisez des sauvegardes chiffrées pour sécuriser vos données.

Patchs

Assurez-vous que votre système d’exploitation et vos logiciels de productivité sont à jour. Pour ce faire, vous pouvez utiliser des mises à jour sur Internet ou créer des systèmes de mise à jour internes.

Les mises à jour logicielles comprendront fréquemment des correctifs pour les vulnérabilités de sécurité nouvellement découvertes et qui pourraient être exploitées par des attaquants.

Effectuez un correctif complet de l’application tierce (en plus des correctifs du système d’exploitation). Certains logiciels tiers, comme Adobe Flash, sont souvent la cible de malwares et doivent être tenus à jour.

Maintenez à jour vos logiciels de sécurité et antivirus

La qualité de vos solutions antivirus, antispam et de filtrage de contenu dépend de la qualité de leur dernière mise à jour.

Vous devez conserver une politique de mise à jour régulière et fréquente pour vous protéger des dernières menaces. Faire cela une fois par jour ne suffit pas !

Tests d’intrusion

Effectuez régulièrement des évaluations de la sécurité de votre réseau et des tests de pénétration pour découvrir les vulnérabilités inconnues.

Systèmes de sécurité web

Utilisez une approche de la sécurité par couches afin de protéger vos utilisateurs et vos systèmes contre les malwares.

Utilisez des logiciels de sécurisation des nœuds d’extrémité

Cela inclut les pare-feu basés sur le client.

Logiciel d’analyse des e-mails

  • Bloquez les fichiers exécutables et les autres types de fichiers malveillants ou indésirables.
  • Listes de blocage en temps réel
  • Analyse antispam
  • Analyse antivirus
  • Contrôle du contenu

Analyse du web

  • Analyse antivirus
  • Protection contre les malwares
  • filtrage des URL
  • analyse SSL
  • Bloquez les fichiers exécutables et autres types de fichiers malveillants ou indésirables.
  • Gestion des applications

Autres solutions de sécurité du réseau

  • Pare-feu
  • Inspection dynamique des paquets
  • Système de prévention d’intrusions (IPS)

Ce qui est certain au sujet des attaques de ransomwares, c’est qu’il est pratiquement impossible de récupérer vos données chiffrées suite à un tel incident. Il est donc préférable de vous protéger correctement dès le départ.

On ne saurait trop insister sur l’importance des sauvegardes dans la lutte contre les ransomwares. Il est essentiel de sauvegarder les fichiers pour pouvoir les récupérer après une attaque de ransomware et de s’assurer que le disque de sauvegarde n’est pas accessible par un malware.