Hyze forever

Les Marchands d'Hyze

Guilde des Marchands d'Hyze

Vous n'êtes pas identifié(e).

Annonce

#1 28-04-2016 11:43:58

Baal
VIP
Lieu : Kerninon
Âge: 29
Inscription : 07-12-2007
Messages : 1 996

J'ai fais une bêtiiiiiiiise

Coucou à vous !

Je viens vous chercher (bon, je pense assez fort à toi Bagu mais si les autres ont une solution...)

Contexte : Je suis au travail. je reçois un mail et lis mal l'expéditeur. Croyant que c'est un élu de la commune qui me l'a envoyé par rapport au projet sur lequel je bosse, j'ouvre la pièce jointe. Étant peu réveillé, j'me pose pas la question de pourquoi il faut que je décompresse un "Jscript". Et là, je me retrouve avec tout mes fichiers pro bloqués, transformés en .locky et un fichier apparaît, avec une demande de rançon.

Fils de Poulpe de hacheur a écrit :

-_$~__.*=*$***
+=||_-*.-|-_+-
~$|*~=_-|$~=_=*
            !!! INFORMATION IMPORTANTE !!!!

Tous vos fichiers ont été chiffrés avec les algorithmes RSA-2048 et AES-128.
Plus d’informations peuvent être trouvées ici:
    http://fr.wikipedia.org/wiki/Chiffrement_RSA
    http://fr.wikipedia.org/wiki/Advanced_E … n_Standard

Déchiffrer vos fichiers est seulement possible en utilisant la clé privée et le programme
de déchiffrement se trouvant sur notre serveur secret.
Pour recevoir votre clé privée suivez l’un de ces liens:
    1. http://[..]
    2. http://[...]
    3. http://[..]

Si aucune de ces adresses ne fonctionne, suivez ces instructions:
    1. Téléchargez et installez le navigateur Tor: https://www.torproject.org/download/download-easy.html
    2. Après son installation, démarrez-le et attendez son initialisation.
    3. Tapez dans la barre d’adresse: 25z[...]
    4. Suivez les instructions du site.

!!! Votre identifiant personnel: [...]
$~~_|+*
-_=_+|*-+-
-|-*|+$*~

A savoir, c'est un "hack" qui se développe beaucoup en Bretagne en ce moment (ma mairie en à fait les frais dernièrement). Si vous n'avez pas la solution la tout de suite ne vous embêtez pas, j'attends que l'agent technique vienne voir, lui saura peut être vu qu'il à déjà rencontré ce problème.

Mais bon, encore un exemple qui permet de confirmer ce que Bagu répète tout les jours (même pendant son sommeil) : les liens à télécharger c'est comme les bonbons, on accepte pas ceux des inconnus !

Edit : quelques trucs assez rigolo :
La demande de rançon s'ouvre toutes les 5 minutes dans une image
Le fonds d'écran du pc à été remplacé par la demande de rançon

Dernière modification par Baal (28-04-2016 11:50:29)


5f0a8410066e573780005a6b8deee319.jpeg
Je me suis rendu compte d'une chose. Ce qui compte réellement pour moi, c'est de pouvoir faire ce que je veux quand je veux. En général, je fais rien. Mais au moins j'ai eu le choix.

C'est ça la liberté.

Hors ligne

#2 28-04-2016 11:58:08

Bagu
Sparadrap
Lieu : Machecoul
Âge: 44
Inscription : 02-12-2007
Messages : 6 779
Site Web

Re : J'ai fais une bêtiiiiiiiise

Source : http://korben.info/locky-quil-y-a-a-sav … oment.html

Locky est ce qu'on appelle un ransomware, c'est-à-dire un malware (pour Windows) qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données. Apparu en février 2016, Locky serait l’œuvre des mêmes personnes qui ont lâché le ransomware Dridex en 2015. Locky se répand actuellement comme une trainée de poudre dans toute l'Europe, notamment en France et en Allemagne. Et cerise sur le gâteau, il évolue chaque semaine en utilisant de nouvelles méthodes de propagation.

Comment Locky se propage-t-il ?

Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir "ATTN: Invoice J-XXXXXXX". Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format "invoice_J-XXXXXX.doc".

Quant au nom de l'expéditeur, ce n'est jamais le même. Il doit s'agir du propriétaire d'une des machines détournées via le botnet pour l'envoi de ces spams.


Le fichier Word (.doc) attaché contient un texte étrange qui indique d'activer les macros pour pouvoir le lire. Je vous rassure, si les macros sont activées, le texte ne sera pas réellement déchiffré (hé oui). Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l'ordinateur.


Quels sont les dégâts qu'il engendre ?

À partir de là, le ransomware commence à chiffrer les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l'argent

Voici les fichiers qui sont chiffrés et dont l'extension est changée en .locky (d'où le nom du malware...) :

locky_renamed

    .m4u | .m3u | .mid | .wma | .flv | .3g2 | .mkv | .3gp | .mp4 | .mov | .avi | .asf | .mpeg | .vob | .mpg | .wmv | .fla | .swf | .wav | .mp3 | .qcow2 | .vdi | .vmdk | .vmx | .gpg | .aes | .ARC | .PAQ | .tar.bz2 | .tbk | .bak | .tar | .tgz | .gz | .7z | .rar | .zip | .djv | .djvu | .svg | .bmp | .png | .gif | .raw | .cgm | .jpeg | .jpg | .tif | .tiff | .NEF | .psd | .cmd | .bat | .sh | .class | .jar | .java | .rb | .asp | .cs | .brd | .sch | .dch | .dip | .pl | .vbs | .vb | .js | .asm | .pas | .cpp | .php | .ldf | .mdf | .ibd | .MYI | .MYD | .frm | .odb | .dbf | .db | .mdb | .sql | .SQLITEDB | .SQLITE3 | .asc | .lay6 | .lay | .ms11 (Security copy) | .ms11 | .sldm | .sldx | .ppsm | .ppsx | .ppam | .docb | .mml | .sxm | .otg | .odg | .uop | .potx | .potm | .pptx | .pptm | .std | .sxd | .pot | .pps | .sti | .sxi | .otp | .odp | .wb2 | .123 | .wks | .wk1 | .xltx | .xltm | .xlsx | .xlsm | .xlsb | .slk | .xlw | .xlt | .xlm | .xlc | .dif | .stc | .sxc | .ots | .ods | .hwp | .602 | .dotm | .dotx | .docm | .docx | .DOT | .3dm | .max | .3ds | .xml | .txt | .CSV | .uot | .RTF | .pdf | .XLS | .PPT | .stw | .sxw | .ott | .odt | .DOC | .pem | .p12 | .csr | .crt | .key

Le fond d'écran de Windows est lui aussi remplacé, affichant la même demande.


Locky supprime aussi les sauvegardes interne ("shadow copies") que Windows fait par l'intermédiaire de son VSS (Volume Snapshot Service), rendant impossible toute récupération.

Enfin, si la victime visite l'un des liens (HTTP classique ou .onion sur Tor) indiqué dans le message, elle tombera sur une page lui indiquant comment acheter puis payer avec des Bitcoins la modique somme de 0,5 BTC (200 € environ) à 1 BTC (400 € environ) pour obtenir un "déchiffreur" baptisé Locky Decryptor PRO. Déchiffreur dont l'efficacité n'a pas été prouvée.


Là où ça pose de vrais problèmes, notamment dans les entreprises, c'est au niveau des disques réseaux partagés. Locky chiffre aussi tout ce qui l'intéresse sur ces partages réseau. Et quand on sait que la plupart du temps, c'est à cet endroit qu'est partagée toute l'intelligence collective d'une société, il y a de quoi avoir de grosses suées froides.

Comment se protéger contre Locky ?

Comme je le disais dans mon dossier sur Cryptolocker, il n'y a pas 36 000 façons de se protéger de ce genre de choses. Tout d'abord c'est un problème entre la chaise et le clavier. À savoir acquérir le réflexe de ne JAMAIS ouvrir une pièce jointe envoyé par mail, et ayant une extension et une provenance douteuse. Même si vous reconnaissez l'adresse de l'expéditeur, soyez tout aussi méfiant car cela peut très bien être usurpé. Ensuite, je vous recommande de vous équiper d'un vrai antivirus : Norton, Kaspersky, ESET, F-Secure...etc. Évitez les AV gratuits (la plupart sont des paniers percés) ou les petits outils de désinfection qui vous promettent monts et merveilles. Toutefois, l'antivirus n'est pas une solution miracle. Il peut vous protéger mais il ne faut pas non plus lui accorder toute votre confiance. C'est à vous d'être vigilant sur ce que vous ouvrez sur votre ordinateur.

Faites régulièrement les mises à jour de votre OS et de vos outils. N'activez jamais les macros dans vos outils bureautiques sauf si vous savez ce que vous faites. Au pire, en cas de doute et de nécessité absolue d'ouvrir une pièce jointe, passez plutôt par une simple visionneuse de document pour ouvrir vos pièces jointes plutôt qu'un Word ou un Excel.

Si vous avez des employés, ou si vous êtes administrateur réseau dans une société, faites immédiatement une réunion d'information auprès des employés pour les avertir et rappeler ces bonnes bases. Ensuite, concernant les partages réseau, passez en revue les droits d'accès (et on arrête de se loguer partout en tant qu'Administrateur de domaine, s'il vous plait ) et placez les données importantes en sécurité.

Enfin, et c'est de loin le meilleur conseil de ma liste : Faites des sauvegardes !!! Ailleurs que sur un partage réseau accessible à Locky évidemment. Ainsi, en cas d'infection, vous pourrez toujours récupérer vos données.

Edit  : Je viens de publier un article avec une astuce pour se bloquer Locky avant qu'il s'installe.

Comment savoir si vous êtes infecté par Locky ?

Vu ce que je viens de vous décrire, vous comprendrez qu'une infection par Locky saute aux yeux. Toutefois, pour en être certain, vous pouvez toujours vérifier que les clés de base de registre...

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
    HKCU\Software\Locky\id
    HKCU\Software\Locky\pubkey
    HKCU\Software\Locky\paytext

...ou les fichiers suivants sont visibles sur votre poste.

    C:\Users\(username)\AppData\Local\Temp\ladybi.exe
    C:\Users\(username)\Documents\_Locky_recover_instructions.txt

Si c'est le cas, félicitations, vous êtes dans la merde.

Comment s'en débarrasser ?

Maintenant si vous êtes infecté par ce malware, contrairement à ce que conseille le FBI : Ne payez pas la rançon. Vous allez perdre de l'argent et vous ne reverrez pas plus vos données, car rien n'indique que le déchiffreur en question soit efficace. De plus, payer c'est encourager les cybercriminels à continuer ce genre d'opérations de chantage.

Concrètement, si votre ordinateur est infecté par Locky, je vous recommande les étapes suivantes :

    Faites le deuil de vos données. Soyez fort !
    Mettez de côté les disques durs infectés (ou faites en une copie) pour le jour très hypothétique où quelqu'un arrivera a pondre un outil pour récupérer vos datas.
    Achetez de nouveaux disques durs ou formatez les anciens et repartez d'une sauvegarde saine ou réinstallez un Windows tout propre sur votre machine.
    Puis reportez-vous au point "Comment se protéger contre Locky ?" de cet article.

Conclusion

Vous l'aurez compris, il n'y a pas de remède miracle contre Locky. C'est pourquoi, il faut que chacun prenne le temps d'informer ses amis, sa famille, ses collègues au sujet de ce malware afin d'enrayer sa propagation. Pour cela, je vous invite à leur partager cet article (ou un autre, peu importe) qui leur sera surement utile et qui les aidera peut être à éviter la catastrophe.

Sources :

    http://community.hpe.com/t5/Security-Re … -p/6834311
    http://blog.fortinet.com/post/a-closer- … nsomware-2
    https://nakedsecurity.sophos.com/2016/0 … d-to-know/
    https://www.proofpoint.com/us/threat-in … With-Locky
    http://www.symantec.com/connect/blogs/l … nt-victims
    https://blogs.forcepoint.com/security-l … s-and-more
    http://phishme.com/locky-a-new-encrypti … -the-best/
    https://www.sensepost.com/blog/2016/und … ing-locky/

Hors ligne

#3 28-04-2016 13:42:08

Baal
VIP
Lieu : Kerninon
Âge: 29
Inscription : 07-12-2007
Messages : 1 996

Re : J'ai fais une bêtiiiiiiiise

Si c'est le cas, félicitations, vous êtes dans la merde.

Ma vie est chiante.


5f0a8410066e573780005a6b8deee319.jpeg
Je me suis rendu compte d'une chose. Ce qui compte réellement pour moi, c'est de pouvoir faire ce que je veux quand je veux. En général, je fais rien. Mais au moins j'ai eu le choix.

C'est ça la liberté.

Hors ligne

#4 28-04-2016 14:02:37

Bagu
Sparadrap
Lieu : Machecoul
Âge: 44
Inscription : 02-12-2007
Messages : 6 779
Site Web

Re : J'ai fais une bêtiiiiiiiise

Huhuhu

Hors ligne

#5 13-07-2016 11:20:14

Cross-Knight
VIP
Âge: 31
Inscription : 27-04-2009
Messages : 254

Re : J'ai fais une bêtiiiiiiiise

On a eu quelques problèmes aussi dans ma boite, c'est à des vieux insouciants et naïfs que c'est arrivé Baal. :p


Ne crains pas d'avancer lentement, crains seulement de t'arrêter...
Longue vie et prospérité!
______________________________________________________________________

Bûcheron 100 / Mineur 100

Hors ligne

#6 13-07-2016 11:54:47

Bagu
Sparadrap
Lieu : Machecoul
Âge: 44
Inscription : 02-12-2007
Messages : 6 779
Site Web

Re : J'ai fais une bêtiiiiiiiise

*Baal reçoit une violente frappe par derrière sur la nuque*
*Baal est K.O."

Hors ligne

#7 14-07-2016 15:31:51

Baal
VIP
Lieu : Kerninon
Âge: 29
Inscription : 07-12-2007
Messages : 1 996

Re : J'ai fais une bêtiiiiiiiise

It's super effective !


5f0a8410066e573780005a6b8deee319.jpeg
Je me suis rendu compte d'une chose. Ce qui compte réellement pour moi, c'est de pouvoir faire ce que je veux quand je veux. En général, je fais rien. Mais au moins j'ai eu le choix.

C'est ça la liberté.

Hors ligne

#8 24-07-2016 22:58:27

Yrlaa
Membre
Âge: 27
Inscription : 31-10-2009
Messages : 136

Re : J'ai fais une bêtiiiiiiiise

A tu as donc ouvert mon mail :)                  ( courage boulet paf )

Dernière modification par Yrlaa (24-07-2016 22:59:18)

Hors ligne

Pied de page des forums

Images par Ankama
Hébergé et mis en place par Bagu Informatique