Comment surfer sur la vague de Locky

La soudaine émergence du rançonlogiciel Locky a suscité un réel boom médiatique à grands coups de rançonlogiciel hautement adaptatif, chiffrement robuste, illustres victimes, le tout couronné par une once de paranoïa quant à la capacité réelle des solutions de sécurité actuelles à stopper cette menace.

La situation a rapidement viré au cauchemar. Mais il y a pire encore. Repensez à tout cela de la perspective d’un cybercriminel ambitieux, bien décidé à répandre d’autres logiciels malveillants moins influents : 1. Vous ressentez de la jalousie. 2. Vous cherchez d’autres options. 3. Vous rebaptisez votre produit de sorte à susciter la peur, l’incertitude, le doute, et y incluez un message en provenance des autorités afin de calmer l’anxiété du lecteur.

Vous obtenez ainsi un message d’hameçonnage émanant prétendument du Bundeskriminalamt, la police d’investigation criminelle allemande. Le courrier qui prétend inclure un kit de suppression du logiciel Locky, ne contient en fait qu’un autre fichier de téléchargement de cheval de Troie bancaire. « Ils tentent simplement de surfer sur la vague de paranoïa qui suit l’infection de Locky pour infecter les utilisateurs avec un autre logiciel malveillant », indique Oscar Anduiza, analyste de logiciels malveillants chez Avira.

Ces malfaiteurs n’ont-ils aucun code d’honneur ?

CaptureSi le packaging de cet e-mail est bien opportun, le logiciel malveillant en lui-même est loin d’être unique. C’est même « l’art de faire du neuf avec du vieux ». Indépendamment de sa nouvelle apparence, Avira a su le détecter depuis son apparition. Voici l’icône du prétendu outil.

Contrairement à Locky, celui-ci ne chiffre pas vos fichiers. Mais il tentera les manipulations suivantes :

Vol des mots de passe d’accès aux sites Internet dans les navigateurs Internet Explorer, Google Chrome, Firefox et Opera ;

Vol des informations sur les comptes : noms des serveurs, numéros de ports, informations de connexion des clients FTP et programmes de stockage cloud ;

Envoi de toutes ces informations vers un serveur distant ;

Multiplication des copies du virus au sein de l’ordinateur :

c:\Users\%user%\AppData\Local\sysmon.exe (fichier masqué)

c:\Users\%user%\AppData\Roaming\sysmon.exe (fichier masqué)

c:\Users\%user%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\WinUpdate.exe

Modifications multiples du registre afin de rester actif et de passer inaperçu :

Clé de registre créée pour s’exécuter au démarrage de Windows : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – “System Monitor”=”C:\Users\%user%\AppData\Local\sysmon.exe”

Modification de la valeur du registre pour masquer les fichiers : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced – “Hidden” = “02”

Ce que nous retiendrons de cette situation :

Les cybercriminels sont plus enclins à suivre les tendances que les top-models – et ils sauront dégainer une nouvelle imitation de tout logiciel malveillant fructueux en quelques jours à peine.

Vous seul êtes responsable de votre sécurité. Question de piratage psychologique ou de bon sens : en cas de doute, ne cliquez pas.

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.