{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eTous les syst\u00e8mes d\u0027exploitations Windows peuvent \u00eatre victimes de ce logiciel malveillant.\u003c/p\u003e ",
  "closed_at": "2018-10-10",
  "content": "## Solution\n\n### Mesures pr\u00e9ventives\n\nLe CERT-FR recommande de sensibiliser les utilisateurs aux risques\nassoci\u00e9s aux messages \u00e9lectroniques pour \u00e9viter l\u0027ouverture de pi\u00e8ces\njointes. Il convient en effet de ne pas cliquer sans v\u00e9rification\npr\u00e9alable sur les liens de messages et les pi\u00e8ces jointes. Les\nutilisateurs ne doivent pas ouvrir des messages \u00e9lectroniques de\nprovenance inconnue, d\u0027apparence inhabituelle ou frauduleuse. Plus\ng\u00e9n\u00e9ralement, il convient de mettre \u00e0 jour les postes utilisateurs,\nnotamment le syst\u00e8me d\u0027exploitation et les applications expos\u00e9es sur\nInternet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans\nle cas o\u00f9 le code malveillant (ou une variante) exploiterait une\nvuln\u00e9rabilit\u00e9 logicielle.\n\nLe CERT-FR recommande \u00e9galement de mettre \u00e0 jour les logiciels antivirus\ndu parc informatique (postes utilisateurs, passerelle de messagerie,\netc.). Le code malveillant \u00e9tant polymorphe, les \u00e9diteurs antivirus ont\nbesoin de publier des signatures en constante \u00e9volution. Par ailleurs,\nil convient d\u0027envoyer d\u00e8s que possible un exemplaire du code malveillant\n\u00e0 votre \u00e9diteur de logiciel antivirus si la variante n\u0027est pas d\u00e9tect\u00e9e\npar ce dernier.\n\nEnfin, le CERT-FR recommande d\u0027effectuer des sauvegardes saines et\nr\u00e9guli\u00e8res des syst\u00e8mes et des donn\u00e9es (postes de travail, serveurs)\npuis de v\u00e9rifier qu\u0027elles se sont correctement d\u00e9roul\u00e9es. Les\nsauvegardes ant\u00e9rieures ne doivent pas \u00eatre \u00e9cras\u00e9es (cas o\u00f9 une version\nchiffr\u00e9e aurait \u00e9t\u00e9 sauvegard\u00e9e). Les sauvegardes doivent \u00eatre r\u00e9alis\u00e9es\nen priorit\u00e9 sur les serveurs h\u00e9bergeant des donn\u00e9es critiques pour le\nfonctionnement de l\u0027entit\u00e9. Celles-ci doivent \u00eatre stock\u00e9es sur des\nsupports de donn\u00e9es isol\u00e9s du r\u00e9seau en production.\n\n### Mesures r\u00e9actives\n\nSi le code malveillant est d\u00e9couvert sur vos syst\u00e8mes, le CERT-FR\nrecommande de d\u00e9connecter imm\u00e9diatement du r\u00e9seau les machines\nidentifi\u00e9es comme compromises. L\u0027objectif est de bloquer la poursuite du\nchiffrement et la destruction des documents partag\u00e9s. Le CERT-FR\nrecommande aussi d\u0027alerter le responsable s\u00e9curit\u00e9 ou le service\ninformatique au plus t\u00f4t. Le temps de revenir \u00e0 une situation normale,\nle CERT-FR recommande \u00e9galement de positionner les permissions des\ndossiers partag\u00e9s en LECTURE SEULE afin d\u0027emp\u00eacher la destruction des\nfichiers sur les partages. Les personnels pourront continuer de\ntravailler localement et mettre \u00e0 jour ult\u00e9rieurement le partage. Aussi,\nle CERT-FR recommande de prendre le temps de sauvegarder les fichiers\nimportants sur des supports de donn\u00e9es isol\u00e9s. Ces fichiers peuvent \u00eatre\nalt\u00e9r\u00e9s ou encore \u00eatre infect\u00e9s. Il convient donc de les traiter comme\ntels. De plus, les sauvegardes ant\u00e9rieures doivent \u00eatre pr\u00e9serv\u00e9es\nd\u0027\u00e9crasement par des sauvegardes plus r\u00e9centes.\n\nLe CERT-FR recommande \u00e9galement de bloquer sur le serveur mandataire\nl\u0027acc\u00e8s aux domaines ou URLs identifi\u00e9s dans le message malveillant.\nL\u0027objectif est de pr\u00e9venir toute nouvelle compromission sur le m\u00eame\nsite. En compl\u00e9ment, le CERT-FR recommande de rechercher et supprimer\nles messages malveillants similaires dans les bo\u00eetes de messagerie des\nutilisateurs. Par ailleurs, le CERT-FR recommande la r\u00e9installation\ncompl\u00e8te du poste et la restauration d\u0027une sauvegarde r\u00e9put\u00e9e saine des\ndonn\u00e9es de l\u0027utilisateur. De plus, dans le cadre de l\u0027utilisation de\nprofils itin\u00e9rants, il convient de supprimer la copie serveur du profil\nafin de pr\u00e9venir la propagation des codes malveillants par ce biais.\n\nEnfin, les fichiers chiffr\u00e9s peuvent \u00eatre conserv\u00e9s par la victime au\ncas o\u00f9 dans le futur, un moyen de recouvrement des donn\u00e9es originales\nserait d\u00e9couvert.\n",
  "cves": [],
  "links": [],
  "reference": "CERTFR-2018-ALE-008",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2018-08-03T00:00:00.000000"
    },
    {
      "description": "Correction d\u0027inexactitudes dans l\u0027objet du courriel de hame\u00e7onnage et dans le protocole de l\u0027url contenant savigneuxcom.securesitefr[.]com",
      "revision_date": "2018-08-09T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte.",
      "revision_date": "2018-10-10T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Installation d\u0027un logiciel malveillant de type locky"
    }
  ],
  "summary": "Depuis la fin juillet 2018, le CERT-FR constate une nouvelle campagne de\ncourriels distribuant le ran\u00e7ongiciel Locky touchant actuellement la\nFrance. Les messages sont accompagn\u00e9s d\u0027un lien hypertexte encourageant\n\u00e0 t\u00e9l\u00e9charger la facture d\u0027une commande. Le taux de blocage par les\npasserelles anti-pourriel est relativement faible.\n\nUn ran\u00e7ongiciel est un programme malveillant qui chiffre les donn\u00e9es du\nposte compromis. Il va \u00e9galement cibler les partages de fichiers\naccessibles depuis le compte utilisateur dont la session est compromise.\nCelui-ci est ex\u00e9cut\u00e9, dans le cas pr\u00e9sent, par une action de\nl\u0027utilisateur. La victime est ensuite invit\u00e9e \u00e0 verser de l\u0027argent afin\nque l\u0027attaquant d\u00e9chiffre les fichiers cibl\u00e9s.\n\nDans le cadre de cette campagne, et d\u0027apr\u00e8s les \u00e9chantillons que le\nCERT-FR a observ\u00e9s, la diffusion de Locky Locker s\u0027effectue par\nl\u0027interm\u00e9diaire d\u0027un pourriel dans lequel se trouve un lien pour\nt\u00e9l\u00e9charger une facture. La facture t\u00e9l\u00e9charg\u00e9e est une archive zip dans\nune autre archive zip contenant un ex\u00e9cutable.\n\nDans les \u00e9chantillions que le CERT-FR a pu observ\u00e9, l\u0027objet du message\nest \"Nous avons re\u00e7u votre paiement.\".\n\nLe corps du message se pr\u00e9sente sous la forme suivante:\n\n\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*  \nMadame, Monsieur,\n\nNous vous notifions que votre commande du XX/XX/2018 d\u0027un montant de  \nXXX\u20ac a bien \u00e9t\u00e9 enregistr\u00e9e.  \nLe contenu de votre commande est d\u00e9taill\u00e9 dans la facture\nt\u00e9l\u00e9chargeable  \nen cliquant ici\n\nTout changement sur l\u0027\u00e9tat de votre commande (pr\u00e9paration, exp\u00e9dition,  \netc.) vous sera automatiquement et imm\u00e9diatement notifi\u00e9 par email.\n\nL\u0027exp\u00e9dition du produit aura lieu 24 heures au plus apr\u00e8s le passage \u00e0  \nl\u0027\u00e9tat \"valid\u00e9\" de votre demande.  \nToute commande qui nous parvient incompl\u00e8te demande des d\u00e9lais de  \ntraitement suppl\u00e9mentaires dont nous ne saurions \u00eatre tenus\nresponsables.  \n\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\\*\n\nNoms de domaines li\u00e9s au t\u00e9l\u00e9chargement de Locky Locker:\n\nhxxp://centredentairenantes\\[.\\]fr_BAD/wp-system.php  \nhxxps://savigneuxcom.securesitefr\\[.\\]com_BAD/client.php?fac=001838274191030\n",
  "title": "Campagne de messages \u00e9lectroniques non sollicit\u00e9s de type Locky Locker",
  "vendor_advisories": []
}