« Locky in the Cloud with Ransomware »

Un nouveau rançonlogiciel répondant au doux nom de Locky est en circulation, chiffrant allègrement les fichiers de ses victimes et exigeant plusieurs centaines d’euros pour les déchiffrer.

Le magazine allemand Heise a fait mention hier de trois solutions antivirus capables de le détecter sur un panel de 54 – et Avira n’en faisait pas partie. Nous aimerions clarifier un point : l’antivirus Avira ne rencontre aucun problème de détection concernant Locky. Outre la détection générique datant de fin 2015, les fichiers binaires téléchargés pour le logiciel malveillant Locky sont également identifiés par les fonctionnalités de détection NightVision et AutoDump dans Avira Protection Cloud (APC) même s’ils passent à travers nos détections de téléchargement JavaScript ou de document Office.

« Locky n’a pas réussi à déjouer notre détection sur le cloud, car nous l’avons repêché à plusieurs reprises dans Avira Protection Cloud », souligne Stefan Kurtzhals du Laboratoire de protection Avira. « Ceci illustre parfaitement le bon fonctionnement des méthodes de détection uniquement basées sur le backend – où nous analysons et détectons les logiciels malveillants dans notre cloud Avira au lieu d’exécuter ces tâches directement sur l’ordinateur de l’utilisateur – en comparaison des détections basées sur le type de signature répertoriées dans VirusTotal. »

  1. Kurtzhals fait référence à Avira Protection Cloud (APC) – notre technologie Cloud dédiée à l’analyse et à la détection des menaces, qui est une composante à part entière de nos solutions antivirus. Avec Avira Protection Cloud, Avira envoie les fichiers binaires potentiellement dangereux à notre cloud à des fins d’analyse. La détection prenant place au niveau du backend du cloud, les cybercriminels tels que les auteurs de Locky ne peuvent pas observer directement notre façon de procéder – ni utiliser avec succès leurs tactiques de camouflage pour déjouer les mécanismes de détection.

Locky frappe dans diverses régions géographiques. Sur la base d’un seul échantillon Locky, Avira a pu identifier des ordinateurs ciblés en Allemagne, au Royaume-Uni et aux États-Unis, en Espagne, en Italie et aux Pays-Bas.

Locky se diffuse habituellement au travers d’e-mails contenant un document Microsoft Word en pièce jointe. Si les macros Office sont activées, l’installation du logiciel malveillant démarre une fois le document ouvert. Si les macros sont désactivées, le logiciel malveillant rappelle aux destinataires de bien vouloir les activer – et se met à la tâche.

Suite à la diffusion récente de Locky via des e-mails JavaScript, l’analyse du script a montré que Locky et Dridex utilisent tous les deux le même obfuscateur JavaScript. Ceci pourrait indiquer qu’ils utilisent probablement le même service FUD (fully-undetected, entièrement non détecté) pour envoyer le courrier indésirable.

« Même si Avira le détecte, il n’en demeure pas moins très important que les utilisateurs fassent preuve de bon sens et ne cliquent pas sur des pièces jointes suspectes. » souligne S. Kurtzhals. « Que le logiciel malveillant en question se nomme Locky ou Dridex, c’est une façon très répandue de faire circuler ces cochonneries à travers le monde – il vaut donc mieux penser à deux fois avant de cliquer. »

Cet article est également disponible en: AnglaisAllemandItalien