Les CryptoLocker, ces fameux ransomware qui chiffrent vos documents, circulent énormément, que ce soit par l’intermédiaire de pages infectées ou par e-mail. Un collègue a reçu une menace par courrier électronique : le message a réussi à passer le scan antivirus de Kaspersky, intégré à l’antispam MDaemon.
En guise de fausse facture, une pièce jointe au format ZIP avec un nom accrocheur. Peut-être avez vous récemment réservé un voyage à l’étranger, ce qui peut vous laisser croire qu’on vous transmet une facture. Mais ce n’est pas le cas. En fait, après analyse par Virus Total, il apparait que le fichier contient un trojan du nom de JS/Locky.Q!Eldorado. Il semblerait d’ailleurs que la signature de cette variante ne soit pas encore connue de tous les antivirus puisque le résultat ne donne que 5 détections positives.
D’après le site Malekal, le malware Locky était d’abord distribué sous forme d’un document Microsoft Office. Il suffisait que les macros soient actives pour que l’infection commence à se répandre sur la machine. Des variantes en JavaScript ont ensuite vu le jour aux alentours du 16 février 2016. Il est actuellement très actif en France, et certains n’hésitent pas à raconter leur mésaventure.
Lorsqu’il est exécuté sur votre ordinateur, vous devriez voir ceci en guise de fond d’écran, sur votre bureau :
D’après Malekal toujours, les documents de l’ordinateur vont alors être chiffrés et l’extension modifiée en .locky. Le ransomware va aussi chercher à chiffrer les documents sur les disques amovibles (clés USB, HDD externe) mais aussi sur les partages réseaux. Un fichier _Locky_recover_instructions.txt contenant les instructions de paiement, est créé sur le bureau.
Les instructions mentionnent une page web sur laquelle on va pouvoir effectuer un paiement en Bitcoin. Celle-ci explique la procédure de A à Z : comment se procurer cette monnaie virtuelle, à quelle adresse faut-il l’envoyer. La page est disponible dans plusieurs langues : portugais, espagnol, suédois, etc. Plus de 20 choix sont disponibles.
Désinfection
Le ransomware ne semble pas persistant,il ne semble donc pas s’installer dans les programmes chargés au démarrage. Il est tout de même recommandé de démarrer en mode sans échec puis d’exécuter une analyse antivirus (avec Malwarebytes Anti-Malware par exemple).
Détection
Il s’agit d’une liste non exhaustive des signatures connues :
- TrojanDropper:JS/Swabfex (Microsoft)
- TrojanDropper:JS/Nemucod (Microsoft)
- JS:Agent-DTI (Avast)
- JS/Locky.Q!Eldorado.
A mettre à jour autant que possible.
Déchiffrer les documents
Pour le moment il n’existe aucun utilitaire pour effectuer cette opération. Sachez tout de même que Kaspersky met à disposition des utilitaires pour récupérer les fichiers qui auraient été chiffrés par un autre ransomware du genre (ex : Rakhni, Scatter, Rector). Qui sait, peut-être qu’un éditeur d’antivirus parviendra à fournir un outil pour récupérer les fichiers après une infection par Locky.
Éviter l’exécution de scripts
Pour éviter l’infection par un script, le site recommande de :
- Désactiver Windows Script Host. Pour cela il faut modifier des valeurs dans le registre.
- Modifier l’association des fichiers « .js » pour qu’ils s’ouvrent avec le bloc-notes (mode paranoïaque).
Pour désactiver WSH :
- Ouvrez la base de registre (menu démarrer, exécuter -> regedit).
- Développez l’arborescence jusqu’à vous positionner dans « HKLMSoftwareMicrosoftWindows Script HostSettings ».
- Ajoutez les paramètres (clic droit – Nouveau – valeur Chaine) :
- Nom = Enabled, valeur = 0
- Nom = IgnoreUserSettings, valeur = 1
- Nom = LogSecurityFailures, valeur = 1
- Effectuez la même opération pour la clé qui se trouve cette fois dans HKCU (HKEY_CURRENT_USER). Seul le paramètre « Enabled » doit être spécifié cette fois.
Sinon, vous pouvez également le texte suivant dans un bloc-notes et enregistrer le fichier en lui collant simplement l’extension « .reg » au lieu de « .txt » (alternative : téléchargez le fichier à l’aide d’un clic droit sur ce lien, option « Enregistrer la cible sous…« ).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings] "Enabled"="0" "IgnoreUserSettings"="1" "LogSecurityFailures"="1" [HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings] "Enabled"="0"
Double-cliquez sur le fichier, et répondez Oui quand Windows vous demande s’il faut vraiment ajouter ces données à la base de registre. Une fois l’opération terminée vous recevez une confirmation sous forme d’une boite de dialogue.
Prévention
Le site Hoaxbuster signale dans un article que l’éditeur Bitdefender propose désormais un utilitaire de vaccination, à télécharger ici. Il s’agit d’une version mini du module déjà présent dans la version complète de l’antivirus du même nom. Cet outil va permettre de détecter les exécutables qui tentent d’effectuer une modification de vos documents.
Il n’est pas non plus exclu :
- De désactiver l’exécution de macros dans les utilitaires Microsoft Office.
- D’effectuer les mises à jour des logiciels comme Office, Java ou Adobe Reader, pour lesquels on détecte régulièrement des failles de sécurité.
- D’effectuer une sauvegarde régulière de vos fichiers.
Variantes et méthodes de distribution
D’autres variantes continuent à se répandre au fur et à mesure et sont toujours plus difficiles à détecter. Ce qui change souvent, c’est le contenu et l’émetteur de l’e-mail qui est envoyé à l’utilisateur.
Il existe aussi un malware du nom de Dridex, sauf que lui ne cherche pas à chiffrer les données sur votre ordinateur. En fait, c’est sa méthode de « distribution » qui est similaire. Il s’agit aussi de fichiers que l’on reçoit généralement par e-mail, et qui contiennent des macros Word ou Excel. Ils sont reconnus en tant que TrojanDownloader:W97M, ou encore W97M/Generic. Une fois les macros actives et exécutées, cela lance le téléchargement et l’installation de logiciels espions destinés à collecter les données personnelles (informations bancaires, mots de passe, etc).