LogoV2

Locky : Ce qu’il faut savoir sur le virus du moment

12 mars 2020

Découvrez tous les détails de ce virus, sa propagation et comment l’éviter

Locky, c’est quoi ?

Locky est un virus ou malware, de type ransomware. C’est à dire qu’il va prendre en otage l’ensemble de vos fichiers (Photos, documents Words / Excel, PDF, etc.) en les chiffrants selon un algorithme fort. Une fois vos précieuses données chiffrer, il vous proposera alors de payer une rançon pour déchiffrer vos données. Apparu en février 2016, Locky se répand actuellement comme une trainée de poudre dans toute l’Europe, notamment en France et en Allemagne. Et il évolue chaque semaine au travers de nouvelles méthodes de propagation.

Comment Locky se propage-t-il ?

Ce ransomware utilise des méthodes identiques à de nombreux virus du même type. A savoir, par les biais d’e-mails contenant une pièce jointe. Il prend une forme assez générale pour piéger le plus grand nombre (facture impayée de fournisseur tel que Free, document envoyé par votre soi-disant scanner connecté). Dans tous les cas, il s’agit alors d’une pièce jointe au format .doc ou .zip.

Le fichier Word (.doc) attaché contient un texte étrange qui indique d’activer les macros pour pouvoir le lire. Cependant, même si les macros sont activées, le texte ne sera pas réellement déchiffré. Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l’ordinateur.

Quels sont les dégâts qu’il engendre ?

Une fois en place, le ransoware ransomware commence à chiffrer les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l’argent

Voici les extensions de fichier chiffrées et changées en .locky :

.m4u | .m3u | .mid | .wma | .flv | .3g2 | .mkv | .3gp | .mp4 | .mov | .avi | .asf | .mpeg | .vob | .mpg | .wmv | .fla | .swf | .wav | .mp3 | .qcow2 | .vdi | .vmdk | .vmx | .gpg | .aes | .ARC | .PAQ | .tar.bz2 | .tbk | .bak | .tar | .tgz | .gz | .7z | .rar | .zip | .djv | .djvu | .svg | .bmp | .png | .gif | .raw | .cgm | .jpeg | .jpg | .tif | .tiff | .NEF | .psd | .cmd | .bat | .sh | .class | .jar | .java | .rb | .asp | .cs | .brd | .sch | .dch | .dip | .pl | .vbs | .vb | .js | .asm | .pas | .cpp | .php | .ldf | .mdf | .ibd | .MYI | .MYD | .frm | .odb | .dbf | .db | .mdb | .sql | .SQLITEDB | .SQLITE3 | .asc | .lay6 | .lay | .ms11 (Security copy) | .ms11 | .sldm | .sldx | .ppsm | .ppsx | .ppam | .docb | .mml | .sxm | .otg | .odg | .uop | .potx | .potm | .pptx | .pptm | .std | .sxd | .pot | .pps | .sti | .sxi | .otp | .odp | .wb2 | .123 | .wks | .wk1 | .xltx | .xltm | .xlsx | .xlsm | .xlsb | .slk | .xlw | .xlt | .xlm | .xlc | .dif | .stc | .sxc | .ots | .ods | .hwp | .602 | .dotm | .dotx | .docm | .docx | .DOT | .3dm | .max | .3ds | .xml | .txt | .CSV | .uot | .RTF | .pdf | .XLS | .PPT | .stw | .sxw | .ott | .odt | .DOC | .pem | .p12 | .csr | .crt | .key

Le fond d’écran de Windows est lui aussi remplacé affichant la demande de rançon et le processus à suivre.

Locky supprime aussi les sauvegardes internes de Windows, rendant impossible toute récupération.

Enfin, si la victime visite l’un des indiqué dans le message de rançon, elle tombera sur une page lui indiquant comment acheter puis payer avec des Bitcoins la modique somme de 0,5 BTC (200 € environ) à 1 BTC (400 € environ) pour obtenir un « déchiffreur » baptisé Locky Decryptor PRO. Déchiffreur dont l’efficacité n’a pas été prouvée.

De plus Locky chiffre aussi tout ce qui l’intéresse sur les partages réseau, endroit où vous sauvegardez généralement vos données mais aussi partagez les fichiers avec l’ensemble de votre famille ou vos collaborateurs.

Comment se protéger contre Locky ?

Il n’y a pas malheureusment de solution miracle. La prévention et les précautions seront vos seules alliées. Il faut par exemple ne JAMAIS ouvrir une pièce jointe envoyé par mail, et ayant une extension et une provenance douteuse. Même si vous reconnaissez l’adresse de l’expéditeur, soyez tout aussi méfiant car cela peut très bien être usurpé. Utilisez un antivirus de qualité et régulièrement mis à jour. Faites régulièrement les mises à jour de votre OS et de vos outils. N’activez jamais les macros dans vos outils bureautiques sauf si vous savez ce que vous faites.

Si vous avez des employés, ou si vous êtes administrateur réseau dans une société, faites immédiatement une réunion d’information auprès des employés pour les avertir et rappeler ces bonnes bases. Ensuite, concernant les partages réseau, passez en revue les droits d’accès et placez les données importantes en sécurité.

Enfin, pensez à faire des sauvegardes de vos données importantes sur un support inaccessible depuis le partage réseau et en sécurité.

Comment s’en débarrasser ?

Si malgré toutes les précautions, vous avez été infecté par le virus Locky, inutile de payer la rançon. Rien n’indique que le logiciel de déchiffrage soit efficace.

Malheureusement, à ce jour, vos données sont considérés comme définitivement perdus. Nous vous conseillons alors de changer complètement de disque dur par des neufs (et cela sur l’ensemble des machines ayant été infectés), de garder précieusement les disques infectés (Il est pas improbable qu’un logiciel de déchiffrage voit le jour). Puis reportez-vous au point « Comment se protéger contre Locky ».