vendredi 21 octobre 2016

Se protéger du ransomware Locky


De retour aujourd'hui avec un nouveau billet qui concerne le ransomware Locky, un logiciel malveillant qui risque de perturber le sommeil, tant il peut faire des dégâts si l'on ne prend pas quelques précautions. Il fut un temps où je me tenais très régulièrement informé des menaces telles que celles-ci, dans le but de ne pas en être victime. Étant devenu très soucieux de protéger mon installation, je ne peux aujourd'hui que me féliciter de ne pas être embêté par toutes ces menaces qui planent sur le web au quotidien. Et forcément, on les perd un peu de vue. C'est pourquoi j'arrive un peu après la bataille, Locky ayant défrayé la chronique en début d'année. Mais une piqûre de rappel n'est jamais vaine, d'autant plus qu'il est très facile de se protéger, bien entendu par un surf responsable, mais également par de petits réglages sur son système.



Qu'est donc un ransomware ?

Appelé aussi rançongiciel ou logiciel de rançon, ce type de programme malveillant prend vos données personnelles en otage et vous invite, sans surprise, à vous acquitter d'une rançon pour pouvoir les récupérer. Les données deviennent inaccessibles, car cryptées, et la rançon permet d'obtenir la clé qui permet de les déchiffrer.
Dans la mesure où l'on ne sait naturellement pas s'il existe réellement une clé de déchiffrage, ni même si elle est efficace en admettant qu'elle existe, il ne faut sous aucun prétexte payer cette fameuse rançon. C'est un moyen d'encourager des pratiques telles que celles-ci. Il est préférable de tenter de se prémunir de ce type de menace, et si le PC est infecté, faire le deuil de ses données.



Comment se propage Locky ?

Le logiciel malveillant se propage avec l'aide de machines zombies. Ce sont des machines qui sont piratées, et qui vont envoyer, à l'insu de leur propriétaire, un mail contenant une pièce jointe que l'on vous propose d'ouvrir. Cette pièce jointe va s'ouvrir avec Word, et demande l'activation des macros pour être lue. L'activation des macros permet à Locky d'être rapatrié sur votre machine, et le chiffrage de vos données peut alors commencer. Le sujet du mail est ATTN: Invoice J-XXXXXXX, Le corps du mail vous propose de régler la facture qui est en pièce jointe et dont le titre est invoice_J-XXXXXX.doc. Le nom de l'expéditeur varie est va en toute logique être celui dont la machine est zombifiée.



Comment voir si la machine est infectée ?

Les fichiers touchés par Locky sont chiffrés, et apparaissent sous la forme de fichiers avec des noms aléatoires formés de chiffres et de lettres, et d'une extension .LOCKY. Le fond d'écran est également remplacé. Il indique que les fichiers sont chiffrés, ainsi que la marche à suivre pour payer la rançon. L'infection est également visible dans la base de registre, ou les clés suivantes apparaissent :
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
  • HKCU\Software\Locky\id
  • HKCU\Software\Locky\pubkey
  • HKCU\Software\Locky\paytext


Comment se protéger de Locky ?

Les conseils habituels restent naturellement plus que jamais de mise :
  • Ne jamais ouvrir les pièces jointes des mails dont l'expéditeur est inconnu ;
  • Ne pas cliquer n'importe où ;
  • Avoir un antivirus et un système d'exploitation à jour ;
  • Faire des sauvegardes régulières de ses données sur différents médias qui ne sont pas rattachés en permanence au PC (Locky peut aussi s'attaquer aux partages réseau) ;
  • Mettre en place des règles fortes au niveau du logiciel parefeu si on en utilise un ; 
  • Et bien d'autres conseils de bon sens... Je parlais de surf responsable : Un peu de vigilance peut parfois être plus profitable qu'un antivirus (d'autant que l'antivirus ne vous protège que des virus, et pas des autres types de menace - ou du moins, pas aussi efficacement).
 Nous avons vu dans le paragraphe précédent que Locky allait créer des clés dans la base de registre. C'est à ce niveau qu'une petite astuce toute simple permet de le bloquer.

  • Appuyer sur Touche Windows + R, et dans la zone de saisie, taper Regedit ;
  • Les systèmes les plus récents vous affichent un message de l'UAC, qu'il faut bien sûr valider pour que l'éditeur s'ouvre ;
  • Double cliquer sur la clé HKEY_CURRENT_USER, puis sélectionner Software plus bas dans l'arborescence ;
  • Dans la barre de menu, cliquer sur Edition, puis Nouveau, puis Clé ;
  • Donner à la nouvelle clé qui apparaît le nom de Locky ;
  • Cliquer avec le bouton droit sur cette nouvelle clé, puis sélectionner l'option Autorisations... dans le menu contextuel ;
  • Une nouvelle fenêtre s'affiche, faisant apparaître une liste d'utilisateurs. Sélectionner le compte administrateur, et cocher, dans la zone au-dessous, les cases sous Refuser ;
  • Un message de confirmation apparaît, le valider, puis quitter la boîte de dialogue des autorisations.
  • Quitter l'éditeur de registre.
Cette simple manipulation permet de bloquer l'installation de Locky. Nous l'avons vu, des clés sont créées dans le registre par Locky mais désormais,  la clé existe déjà, et on en refuse l'accès. Ce n'est pas la seule manière de se protéger de Locky, mais c'est indéniablement la plus rapide et la plus simple à mettre en oeuvre. D'autres manières de se protéger sont présentées sur lexsi.com.

J'espère tout naturellement que cette astuce vous mettra à l'abri de ce ransomware.

Aucun commentaire:

Enregistrer un commentaire