Pour gérer vos consentements :

Ransomware : Locky se fait passer pour un fichier système Windows

Publié par Christophe Lagane le | Mis à jour le

Une variante du ransomware Locky se fait passer pour un fichier DLL dans l'espoir de tromper les filtres de sécurité.

Toujours plus vicieux. Le ou les groupes de cybercriminels qui se cachent derrière le Locky ne cessent de faire évoluer l'un des plus populaires ransomware de la Toile. Objectif : déjouer les dernières mises à jour des solutions de protection et attraper toujours plus de victimes dans les filets. Victimes qui, rappelons-le, n'auront d'autre choix que de payer une rançon (généralement en bitcoin) pour récupérer leurs données si elles n'ont pas pris soin de faire des sauvegardes.

Aux dernières nouvelles, la dernière variante de Locky se distingue en se cachant derrière un fichier .DLL et non plus derrière un .EXE comme précédemment. Les DLL (Dynamic Link Library) sont des bibliothèques logicielles exploitées par Windows pour exécuter une application. « Ce que nous trouvons le plus intéressant dans cette dernière vague Locky est qu'au lieu de télécharger un binaire EXE, ce composant ransomware arrive maintenant en tant que binaire DLL, soulignent les chercheurs en sécurité de Cyren. Qui plus est, le fichier DLL ainsi téléchargé est personnalisé pour empêcher les scanners de virus de le détecter facilement. »

Attention au zip

Si le DLL parvient à passer les filtres de sécurité, son exécution reste identique à celle constatée jusqu'à présent, à savoir que le rançongiciel part à la recherche de fichiers à chiffrer avant de rediriger ses victimes vers une page affichant la facture (et la méthodologie du mode de paiement). Petite variante, le mécanisme d'attaque attribue l'extension .zepto aux fichiers devenus illisibles. « Comparé aux précédentes, cette nouvelle variante ajoute un autre niveau d'obscurcissement qui déchiffre et exécute le réel script chargé du téléchargement de Locky », constatent toutefois les chercheurs.

Le mode de distribution et d'infection de JS/Locky.AT!Eldorado, nom de cette nouvelle variante de Locky, n'a, lui, pas changé?: il tente toujours de se propager par l'envoi d'un e-mail trompeur invitant à cliquer sur une pièce jointe au format ZIP renfermant le code Javascript qui va déclencher la décompression des fichiers et l'exécution des commandes de téléchargement de l'agent infectieux proprement dit. Etre doublement attentif lors de la réception de ce genre d'e-mail (et éviter de cliquer sur des fichiers ZIP sans être absolument certain de leur origine) reste le meilleur moyen d'éviter de l'infection.

Lire également
Ransomware : Locky reprend du service
Comment un chercheur français a infecté des arnaqueurs avec Locky
Ransomware Locky : la France parmi les deux principaux pays ciblés

Photo credit: portalgda via Visualhunt.com / CC BY-NC-SA