Un rançongiciel, envoyé par mail, se cache dans une fausse facture Free
Depuis la mi-février 2016, le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) constate à l’échelle nationale une vague de pourriels dont le taux de blocage par les filtres anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel Locky.
Un rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l’utilisateur. La victime est ensuite invitée à verser de l’argent afin que l’attaquant déchiffre les fichiers ciblés.
Mais dans le cadre de cette campagne, et d’après les échantillons que le CERT-FR a observés, la diffusion de Locky s’effectue par l’intermédiaire d’un pourriel dans lequel se trouve une pièce jointe au format doc. Ce document Microsoft Office contient un texte illisible ainsi qu’un message indiquant la nécessité d’activer les macros pour l’affichage correct du message. Macro dont l’objectif est la récupération puis l’exécution du malware. L’exécution de ce dernier entraine le chiffrement des données et les fichiers sont renommés avec l’extension ".locky".
Les abonnés Free sont directement concernés.
Mais depuis le 29 févier 2016, le CERT-FR constate à l’échelle nationale une vague de pourriel sous la forme d’un message électronique du type suivant :
« Subject : Facture mobile du 29-02-2016
From : "Free Mobile" <freemobile@free-mobile.fr>
Date : 29/02/2016 12:01
To : <xxx@yyy.zzz>
Cher(e) abonne(e),
Veuillez trouver en piece jointe votre facture mobile du 01-02-2016, d’un montant de 19.99E. Vous pouvez a tout moment desactiver la reception de votre facture par email dans votre espace abonne : http://mobile.free.fr
Sinceres salutations.
L’equipe Free – Free Mobile – SAS au capital de 365.138.779 Euros – RCS PARIS 499 247 138 – Siege social : 16 rue de la Ville l’eveque 75008 Paris
Attachments : Freemobile_0782884641_29-02-2016.pdf 1,7 KB ».
La pièce jointe est en fait une archive ZIP contenant un fichier javascript nommé EPSON000 (nombre à 10 chiffres).js. Ce script va ensuite télécharger la charge malveillante. L’exécution de ce dernier entraine le chiffrement des données et les fichiers sont renommés avec l’extension ".locky".
Méfiance donc ! Le CERT-FR rappelle qu’il convient de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d’apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d’exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle.
En cas d’infection, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés. Pour couronner le tout, tous les systèmes d’exploitations Windows peuvent être victimes de ce logiciel malveillant.
Merci à Elbekk