Ransonware Locky : le CERT-FR alerte sur de fausses factures Free Mobile

Le ransonware Lucky est soupçonné d'opérer via de fausses factures Free Mobile, pour lesquelles il est fortement déconseillé d'ouvrir les pièces jointes. Cette action entraînant en effet l'infection du poste de travail.

Le mois dernier, des pirates parvenaient à paralyser le système informatique d’un hôpital via un ransonware du nom de Locky. Pour rappel, un ransonware est, comme son appellation l’indique quelque peu, un logiciel malveillant qui capture vos données personnelles avant de vous demander une rançon pour les récupérer.

Vendredi, le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) a communiqué sur deux formes qu’aurait pris le ransonware Locky et sous lesquelles il serait actuellement distribué : de fausses factures Free Mobile et un pilote d’impression Epson.

Ransonware Locky : gare aux fausses factures Free Mobile par courriel

Et le CERT-FR de préciser que « tous les systèmes d’exploitations Windows peuvent être victimes de ce logiciel malveillant. » Suite à l’examen, par ce centre, de plusieurs échantillons, il a été constaté que « la diffusion de Locky s’effectue par l’intermédiaire d’un pourriel [NDLR : courriel indésirable ou spam] dans lequel se trouve une pièce jointe au format doc. Ce document Microsoft Office contient un texte illisible ainsi qu’un message indiquant la nécessité d’activer les macros pour l’affichage correct du message. Macro dont l’objectif est la récupération puis l’exécution du malware. L’exécution de ce dernier entraine le chiffrement des données et les fichiers sont renommés avec l’extension ‘.locky’. »

Les recommandations du CERT-FR

Depuis le 29 février dernier, un certain type de pourriel semble ainsi se répandre, celui prenant la forme d’une facture Free Mobile à laquelle a été jointe un prétendu fichier PDF. Ce dernier est « en fait une archive ZIP contenant un fichier javascript nommé EPSON000<nombre à 10 chiffres>.js. Ce script va ensuite télécharger la charge malveillante. » Entre autres mesures préventives, le CERT-FR préconise la configuration de restrictions logicielles sur les postes de travail visant à « empêcher l’exécution de code à partir d’une liste noire de répertoires ». Et dans la situation d’une infection constatée, le centre recommande notamment « de déconnecter immédiatement du réseau les machines identifiées comme compromises. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés. »