ALERTE SECURITE CERT-FR - RANSOMWARE TYPE LOCKY LOCKER

06/08/2018
CERT-FR

 

Objet : Campagne de messages électroniques non sollicités de type Locky Locker Référence : CERTFR-2018-ALE-008

 

Risques :

Installation d'un logiciel malveillant de type Locky

 

Systèmes affectés :

Tous les systèmes d'exploitations peuvent être victimes de ce logiciel malveillant.

 

Résumé :

Depuis la fin juillet 2018, le CERT-FR constate une nouvelle campagne de courriels distribuant le rançongiciel Locky touchant actuellement la France. Les messages sont accompagnés d'un lien hypertexte encourageant à télécharger la facture d'une commande. Le taux de blocage par les passerelles anti-pourriel est relativement faible.

 

Un rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l'utilisateur. La victime est ensuite invitée à verser de l'argent afin que l'attaquant déchiffre les fichiers ciblés.

 

Dans le cadre de cette campagne, et d'après les échantillons que le CERT-FR a observés, la diffusion de Locky Locker s'effectue par l'intermédiaire d'un pourriel dans lequel se trouve un lien pour télécharger une facture. La facture téléchargée est une archive zip dans une autre archive zip contenant un exécutable.

 

Dans les échantillons que le CERT-FR a pu observé, l'objet du message est "Nous avons reçu votre paiement".

 

Le corps du message se présente sous la forme suivante:

************************************

Madame, Monsieur,

Nous vous notifions que votre commande du XX/XX/2018 d'un montant de XXX€ a bien été enregistrée.

Le contenu de votre commande est détaillé dans la facture téléchargeable en cliquant ici

Tout changement sur l'état de votre commande (préparation, expédition,

etc.) vous sera automatiquement et immédiatement notifié par email.

L'expédition du produit aura lieu 24 heures au plus après le passage à l'état "validé" de votre demande.

Toute commande qui nous parvient incomplète demande des délais de traitement supplémentaires dont nous ne saurions être tenus responsables.

************************************

Noms de domaines liés au téléchargement de Locky Locker:

hxxp://centredentairenantes[.]fr_BAD/wp-system.php

hxxp://savigneuxcom.securesitefr[.]com_BAD/client.php?fac=001838274191030

 

Pour toute demande complémentaire, contactez-nous !

 

 

Cyber sécurité
 

 

 

Source : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-008/

 

Nos clients

RADIO-RENNES OUEST-STRUCTURES bardon LE-TEMPS-DU-REGARD delasalle FUTURSKILL BIEN-VIEILLIR client-1 2 4 5 6 10 12 13 14 15 hh AS ERP-JEAN-JANVIER FDSEA FFB-2 INITIA IXI madeofoods OCEANE SERVICAD

Dernière Actu