En matière de rançongiciels, je crains d’être l’oiseau de mauvais augure en vous annonçant l’apparition d’une nouvelle variante : Locky. SC Magazine a révélé qu’en date du 16 février on recensait « près de 446 000 cas liés à cette menace, dont plus de la moitié aux Etats-Unis (54 %). »
Utilisant le chiffrement AES pour commettre son méfait, Locky vous demande ensuite 0,5 bitcoin en échange du décryptage de vos données. Prenez donc garde si vous recevez un e-mail contenant un document Microsoft Word en pièce jointe et ne l’ouvrez surtout pas !
Lawrence Abrams, Microsoft MVP et fondateur de Bleeping Computer, explique : « Le document Word a l’apparence d’une facture contenant un message vous invitant à activer les macros si le texte est illisible. Une fois les macros activées par la victime, un programme sera téléchargé depuis un serveur distant puis exécuté. Le fichier téléchargé par la macro sera enregistré dans le dossier %Temp% puis exécuté. Cet exécutable est le rançongiciel Locky qui s’attellera à crypter les fichiers se trouvant sur votre ordinateur. »
À l’instar de CryptoWall, Locky modifie également le nom des fichiers cryptés pour qu’il soit plus difficile de déterminer les fichiers à rétablir.
Les types de fichiers affectés incluent actuellement : .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
Prévention
Pour empêcher Locky de semer le chaos sur vos systèmes de fichiers, ne cliquez jamais sur des liens et n’ouvrez aucune pièce jointe ou e-mail provenant d’inconnus. De plus, faites une sauvegarde régulière de vos fichiers les plus importants contenant des données sensibles.
Clients Varonis – si vous possédez DatAlert, créez une règle pour surveiller le renommage de fichiers en masse avec l’extension .locky ou d’un seul fichier _Locky_recover_instructions à l’aide des filtres « ÉGAL » / « Contenu dans ». Se connecter pour en savoir plus.
Suggestions de lecture :
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.
