New Locky Campaign: Double click for ransomware

Nouvelle campagne Locky : double-cliquez pour le rançongiciel

La semaine dernière, le laboratoire de recherche antivirus Avira a observé une nouvelle vague du Locky ransomware qui ciblait nos utilisateurs. C’est un chiffreur typique de fichier qui rendra tous vos précieux fichiers (comme vos photos et documents) illisibles et vous obligera à payer une rançon en échange de la clé de déchiffrement.

La mauvaise nouvelle

Cette nouvelle vague se répand via des documents Office Word, pas seulement Microsoft mais aussi de programmes comme Libre Office, et ressemble à cela :

New Locky Campaign: Double click for ransomware - in-post 1

L’auteur du logiciel malveillant piège l’utilisateur en lui demandant de double-cliquer sur l’enveloppe. Ce faisant, une cascade d’actions en découle.Tous les fichiers précieux sont alors chiffrés et l’utilisateur reçoit le message suivant.

New Locky Campaign: Double click for ransomware - in-post 2

Cette méthode de chiffrement modifie l’extension de fichier en « .asasin » et de nombreux autres fichiers comportant des informations de paiement sont alors écrits sur le disque.

La bonne nouvelle

Le système d’intelligence artificielle d’Avira détecte ce genre de menaces à partir du moment où elles sont aperçues sur l’ordinateur de nos clients. Un message de notre antivirus s’affiche alors indiquant qu’une menace HEUR/APC a été détectée. De plus, nous avons envoyé une signature nommée « TR/Locky » à tous nos clients via le système de mise à jour.


Article associé

https://blog.avira.com/fr/5-conseils-pour-eviter-les-pieges-des-rancongiciels/


Petits détails techniques

Derrière cette image dans le document Word se cache un fichier LNK, qui correspond à un raccourci sous Windows. En transférant le fichier sur le disque, nous pouvons avoir une idée de ses intentions.

New Locky Campaign: Double click for ransomware - in-post 3

En collant la commande dans un éditeur de texte, on remarque clairement que ce raccourci souhaite exécuter un script PowerShell :

New Locky Campaign: Double click for ransomware - in-post 4

Le script se trouve en texte brut et peut être lu facilement. Il a pour intention de télécharger un autre script PowerShell à partir d’un lien intégré dans le script, puis d’exécuter ce dernier en utilisant la fonction Invoke-Expression.

New Locky Campaign: Double click for ransomware - in-post 5

Ce second script se connecte à Internet et télécharge un fichier exécutable Windows nommé « losos1.exe » dans le dossier %temp%. Il déclenche alors un processus. Ce fichier exécutable est compilé par Microsoft VC 2013 et contient également de multiples étapes d’obscurcissement du code pour induire les analystes en erreur et leur faire croire qu’il s’agit d’un fichier propre.

New Locky Campaign: Double click for ransomware - in-post 6

On remarque de nombreuses chaînes inutiles dans l’image suivante ainsi que « system32\calc.exe ».

New Locky Campaign: Double click for ransomware - in-post 7

Certaines informations intégrées au fichier exécutable peuvent induire l’utilisateur en erreur et le laisser penser qu’il s’agit d’une application Windows légitime :

New Locky Campaign: Double click for ransomware - in-post 8

Une fois le nouveau processus créé, il se copie lui-même en tant que « svchost.exe » et crée une nouvelle instance avant de supprimer le premier fichier exécutable :

New Locky Campaign: Double click for ransomware - in-post 9

New Locky Campaign: Double click for ransomware - in-post 10

Il vérifie le mutex suivant pour voir s’il est déjà exécuté sur le système :

  • “Global\Ca4a2aDa1aGaFa3a9aGa3a9aBa9a:aCa”

New Locky Campaign: Double click for ransomware - in-post 11

Récupère des informations sur le système d’exploitation et les envoie chiffrées vers un serveur C&C comme suit, dans le but de retrouver une clé de chiffrement :

  • Param: id=[..]&act=getkey&affid=[..]&lang=en&corp=0&serv=0&os=Windows+7&sp=1&x64=1&v=2
  • user-agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)

 

Exemples de référence :
e49c6973ddcc601cfb85b451e122903b1a9c036c8baafc35cb327f76b998c537
423dc1aaaed311349f9932a643a032d18f0589b97275b501a7a7f6955f5aac46

 

Locky travaille dur pour éviter d’être repéré, mais ce n’est pas suffisant. Avira Antivirus détecte Locky à plusieurs niveaux au sein de sa détection dans le cloud.

Cet article est également disponible en: AnglaisAllemandItalien