Variante récente de rançongiciel – Locky

Numéro : AL16-005
Date : Le 1 avril 2016

Objet

Le Centre canadien de réponse aux incidents (CCRIC), en collaboration avec l'équipe d'intervention en cas d'urgence informatique des États-Unis (US-CERT) du Département de la Sécurité intérieure (DHS) des États-Unis publie cette alerte pour donner plus d'information sur une variante récente de rançongiciel appelée Locky. Depuis le début de 2016, on a observé le maliciel Locky infecter des ordinateurs appartenant à des personnes et à des entreprises, y compris des établissements de soins de santé et des hôpitaux, et ce, à l'échelle mondiale.

Évaluation

Le CCRIC a appris l'existence d'une variante de rançongiciel destructeur appelé Locky, qui a été observé depuis le début de 2016. Cette forme de rançongiciel destructeur tente d'extorquer de l'argent des victimes en affichant une alerte à l'écran. Généralement, ces alertes annoncent que l'ordinateur de l'utilisateur a été verrouillé ou que tous les fichiers de l'utilisateur ont été chiffrés. Ensuite, l'alerte informe l'utilisateur que l'accès ne sera rétabli que s'il paye une rançon.

Le rançongiciel Locky se propage dans des pourriels qui contiennent des documents Microsoft Office malveillants ou des pièces jointes comprimées, comme des fichiers .zip et .rar. La pièce jointe malveillante contient des macros ou des fichiers JavaScript qui téléchargent les fichiers Ransomware-Locky. Locky a infecté des ordinateurs appartenant à des personnes et des entreprises, y compris des établissements de soins de santé et des hôpitaux aux États-Unis, en Nouvelle-Zélande, en Allemagne et au Canada. On a vu apparaître d'autres variantes de rançongiciels destructeurs en 2016, comme Samas, qui sert à compromettre les réseaux d'établissements de soins de santé. Voir la section Références ci‑dessous pour plus d'information.

Généralement, les rançongiciels se propagent dans des courriels de hameçonnage contenant des pièces jointes malveillantes ou par téléchargement furtif. Un téléchargement furtif se produit lorsqu'un utilisateur visite un site Web infecté à son insu. Les maliciels sont téléchargés et installés sans que l'utilisateur ne s'en aperçoive. Les rançongiciels de chiffrement, une variante de maliciel qui chiffre les fichiers, se propagent de façon semblable, ainsi que par l'entremise d'applications de messagerie instantanée pour le Web.

Les rançongiciels ne visent pas seulement les utilisateurs à la maison. Ils peuvent aussi infecter les ordinateurs d'entreprises, ce qui peut avoir des conséquences néfastes, comme :

Le fait de payer la rançon ne garantit pas que les fichiers chiffrés seront rétablis – cela garantit seulement que les acteurs malveillants reçoivent l'argent de la victime et, dans certains cas, ses informations bancaires aussi. De plus, le déchiffrage des fichiers ne signifie pas que l'infection proprement dite a été supprimée.

Mesure suggérée

Le CCRIC recommande aux organisations d'examiner les renseignements d'atténuation/mesures de prévention ci-dessous et d'en envisager la mise en œuvre dans le contexte de leur environnement de réseau.

Il est important de souligner que les infections peuvent être dévastatrices pour une personne ou une organisation, et que la récupération des données peut être un processus difficile pouvant exiger le recours à un spécialiste réputé en matière de récupération de données.

Références (en anglais)

US-CERT Alert (TA16-091A)
https://www.us-cert.gov/ncas/alerts/TA16-091A

Guide Pensez cybersécurité CCRIC
http://www.pensezcybersecurite.gc.ca/cnt/rsrcs/pblctns/smll-bsnss-gd/index-fr.aspx

McAfee Labs Threat Advisory: Ransomware - Locky
https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26383/en_US/McAfee_Labs_Threat_Advisory-Ransomware-Locky.pdf

Sophos / Naked Security, “Locky” ransomware – what you need to know
https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know

Symantec Article - Cryptolocker: A Thriving Menace
http://www.symantec.com/connect/blogs/cryptolocker-thriving-menace

Samas - SamSam: The Doctor Will See You, After He Pays The Ransom
http://blog.talosintel.com/2016/03/samsam-ransomware.html

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :