locky

Locky fonctionne hors ligne

La dernière version du rançongiciel Locky possède un mode hors ligne qui entre en action lorsque toutes les connexions aux centres de commande et contrôle défaillent.

La nouvelle variante, repérée en juillet 2016, présente de nombreux points communs avec les adolescents continuant de jouer avec leurs smartphones après qu’un des parents a débranché le routeur WiFi : même s’il donne l’impression d’être déconnecté, on peut toujours trouver un moyen de contourner le problème et le jeu continue.

« Auparavant, un administrateur système pouvait bloquer toutes les connexions CnC et empêcher Locky de chiffrer tous les fichiers sur le système. Ce passé est désormais révolu. », affirme Moritz Kroll, spécialiste des logiciels malveillants chez Avira. « Locky a maintenant réduit les chances d’éviter un désastre de chiffrement pour les victimes potentielles. »

Une fois son œuvre démarrée, l’heure tourne et rapidement. Locky met en œuvre un processus de communication configuré qui essaie en premier tous les CnC présents dans la configuration, puis tous les CnC du DGA (12 par jour). En cas d’échec, il essaie encore une fois tous les CnC puis un CnC de la configuration à nouveau. Si tous ceux-ci échouent, il déclenche le mode de chiffrement hors ligne.

De l’infection Locky initiale au lancement du mode de chiffrement hors ligne, il s’écoule entre une et deux minutes.

« En passant d’un CnC à l’autre, il a observé 3 délais à mon intention, chacun de 10 à 20 secondes. Pour les administrateurs, il n’est pas évident de détecter les requêtes. », souligne-t-il. « Bien que Locky persévère dans ses tentatives de connexion et que celles-ci puissent être observées, il chiffre bel et bien les fichiers en cas d’échec. Ainsi, lorsqu’un administrateur repère de telles connexions, il lui reste très peu de temps pour éteindre l’ordinateur avant que les données soient endommagées. »

Les clés diffèrent pour les victimes hors ligne

Le nouveau Locky utilise différents mécanismes pour générer les numéros d’identifiant pour ses victimes en ligne et hors ligne. En mode hors ligne, Locky ne peut pas enregistrer directement un identifiant de victime sur le serveur et ne peut pas recevoir de clé publique spécifique à la victime comme à l’accoutumée. Dans ce cas précis, il utilise une clé publique faisant partie de la configuration et génère un identifiant de victime spécifique pour la page de paiement.

locky-with-offline-config

La clé publique du nouveau Locky est commune à toutes les « victimes hors ligne » infectées par des échantillons qui utilisent une configuration identique. La clé publique possède un identifiant de façon à ce que le serveur puisse éventuellement opérer une distinction entre les clés publiques provenant de différentes configurations Locky.

Pour pouvoir différencier les diverses victimes hors ligne et vérifier si elles ont déjà payé la rançon, Locky génère également un identifiant spécifique à la victime qui apparaît dans le texte annonciateur de la rançon.

L’identifiant spécifique à la victime est généré à partir :

  • des premiers 6 chiffres hexanumériques de l’identifiant de victime normal, basés sur un GUID de la partition du disque dur
  • de la langue de l’interface utilisateur par défaut de l’utilisateur
  • de la version du système d’exploitation et du type (serveur/non serveur)
  • de l’appartenance à un contrôleur de domaine (en d’autres termes, si la victime appartient probablement à une organisation, afin de pouvoir augmenter la rançon exigée)
  • de l’identifiant affilié dans la configuration (permettant d’identifier le canal de diffusion du logiciel malveillant)
  • l’identifiant de clé publique créé à partir de la configuration

Différenciation entre les victimes en ligne et hors ligne

Pour opérer une distinction entre les identifiants de victime normaux et spécifiques, le nouveau Locky utilise un encodage différent pour encoder les identifiants de victime spéciaux en utilisant un alphabet de 32 caractères (YBNDRFG8EJKMCPQX0T1UWISZA345H769) au lieu des chiffres hexadécimaux (0123456789ABCDEF). Sur la base de cet identifiant spécifique à la victime, le serveur Locky est ensuite en mesure d’extraire l’identifiant de clé publique pour fournir la clé publique correcte à la victime.

locky-id-encoding-with-custom-alphabet

Une rançon au rabais pour les victimes perspicaces

Cette clé privée étant partagée avec toutes les autres victimes hors ligne de la même configuration Locky, ceci crée les conditions pour offrir une remise aux victimes. « En théorie, lorsqu’une entreprise dotée d’un contrôleur de domaine est attaquée par le nouveau Locky et voit un identifiant non-hexadécimal du type « BSYA47W0NGXSWFJ9 », il peut être moins onéreux de générer un identifiant de victime avec le même identifiant de clé publique mais sans avouer qu’il s’agit d’un ordinateur d’entreprise. », souligne Kroll. « La clé privée contenue dans l’outil de déchiffrement pour la clé publique « grand public » devrait également fonctionner pour l’ordinateur d’entreprise – et pour toutes les autres victimes utilisant la même clé publique. Évidemment, il vaut mieux prendre des précautions, mettre en application une stratégie de sauvegarde de données et ne pas être touché du tout. »

Échantillon de référence : SHA256 01aa8c430a9653cc4ae0574e151658bde36fe59e57d3489e4216e4a0ef402170

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.