Le rançonlogiciel Locky est mort, vive Locky!

La première vague de Locky est certes passée, mais le rançonlogiciel continue d’être disséminé à travers le monde et notamment dans les pays germanophones. Cette seconde vague de distribution n’a pas l’envergure de la précédente, mais les retombées financières pour les auteurs et distributeurs de ce logiciel malveillant sont telles qu’elles présagent probablement des fonctionnalités incluses dans ceux à venir. « Suivez l’argent » — cette réplique clé du film culte de Robert Redford « Les hommes du président », qui retrace le scandale du Watergate, semble en effet très bien s’appliquer aux logiciels malveillants. Locky nous a ainsi laissé de précieux indices quant au savant mélange de caractéristiques techniques, opérationnelles et de distributivité utilisées, à considérer comme des avertissements pour tous les utilisateurs et entreprises dans la planification de leurs stratégies de défense informatique.

  1. Drive me baby — Locky chiffrait l’ensemble des disques et lecteurs des ordinateurs et réseaux attaqués, y compris les disques et lecteurs partagés non mappés. Cette tendance au chiffrement exhaustif devrait se confirmer dans les futures variantes des rançonlogiciels.

Plan de réponse : prévoyez un solide plan de sauvegarde, faisant idéalement appel aux services de Cloud qui offrent des fonctionnalités de contrôle et de restauration des versions. Les utilisateurs grand public pourront se contenter d’un disque dur ou SSD de sauvegarde au niveau local, à condition de bien veiller à déconnecter le disque dur après chaque sauvegarde. Cette précaution permet par ailleurs de prévenir tout autre dommage pouvant être causé par les pics de tension électrique notamment en cas d’orage.

  1. C’est dans les vieilles marmites qu’on fait les meilleures soupes – La recette de base de Locky est des plus simples : quelques macros au sein de fichiers Word – une pointe de piratage psychologique afin d’amener les destinataires des documents à activer les macros et le tour est joué ! Une combine de la vieille école tout à fait fonctionnelle, qui s’est avérée plus que profitable aux cybercriminels.

Plan de réponse : bien que les attaques furtives de type « zero-day » focalisent l’attention, ne négligez pas les mesures de protection de base contre les vulnérabilités établies de vos systèmes, notamment concernant la manipulation des macros. Optez pour l’unique activation des macros Office signées et désactivez tout le reste. Dans la sphère professionnelle, il est possible de configurer les réseaux de sorte que l’option soit inaccessible aux utilisateurs finaux.

  1. Vous avez dit « FUD » ? – Dans les premières heures de l’assaut Locky, les publications spécialisées dans la sécurité ont pointé du doigt les faibles scores de détection affichés par la plupart des sociétés de développement d’antivirus sur le site VirusTotal. Il faut cependant considérer la situation dans son ensemble. Locky est considéré comme un logiciel malveillant de niveau FUD (Fully Undetected Malware, malware totalement indétectable), utilisant des fichiers malveillants préalablement « optimisés » au point de prévenir toute détection par les scanners antivirus. Les cybercriminels testent leurs échantillons malveillants par le biais des méthodes de détection accessibles au public sur VirusTotal ou de systèmes de test privés internes fonctionnant sur le même principe. Les faibles taux de détection sont à prendre avec précaution. Seuls certains des développeurs d’antivirus offrent la détection Cloud ou d’autres méthodes de détection avancée par le biais de VirusTotal – comme au poker, il est parfois recommandé de ne pas afficher tout son jeu d’emblée.

Plan de réponse : adoptez une attitude sceptique face à l’inconnu et gardez vos yeux grand ouverts.

  1. La sagesse du Cloud – Avira détecte Locky à plusieurs niveaux de son système d’analyse et de détection Cloud. Au niveau de la couche AutoDump, Locky est ainsi détectable après suppression des couches d’obfuscation. Au niveau de la couche d’apprentissage automatique Nightvision, les fichiers sont classés selon quelque 7000 caractéristiques, ce qui permet une détection très efficace des logiciels malveillants. Dans les cas où le logiciel malveillant a été détecté dans d’autres couches, le système Nightvision prend automatiquement connaissance de l’échantillon en quelques minutes à peine afin de couvrir toutes les variantes possibles de ce dernier. Par ailleurs, l’analyse Cloud reste hors de portée des cybercriminels.

Plan de réponse : pour une protection des plus complètes, assurez-vous de bien activer la protection Cloud de votre solution antivirus. Nous attachons tellement d’importance à ce point que nous avons automatiquement inclus nos utilisateurs grand public dans l’Avira Protection Cloud. Les clients professionnels doivent quant à eux d’abord approuver le contrat de licence de l’utilisateur final afin d’y accéder, et ce pour de simple raisons de protection des données.

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.