CERTFR-2016-ALE-001
Vulnerability from certfr_alerte - Published: - Updated:
Depuis la mi-février 2016, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel Locky.
Un rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l'utilisateur. La victime est ensuite invitée à verser de l'argent afin que l'attaquant déchiffre les fichiers ciblés.
Dans le cadre de cette campagne, et d'après les échantillons que le CERT-FR a observés, la diffusion de Locky s'effectue par l'intermédiaire d'un pourriel dans lequel se trouve une pièce jointe au format doc. Ce document Microsoft Office contient un texte illisible ainsi qu'un message indiquant la nécessité d'activer les macros pour l'affichage correct du message. Macro dont l'objectif est la récupération puis l'exécution du malware. L'exécution de ce dernier entraine le chiffrement des données et les fichiers sont renommés avec l'extension ".locky".
Il est intéressant de noter que le message eléctronique a pour sujet "ATTN: Invoice J-\<8 chiffres>" et la pièce jointe pour nom "invoice_J-\<8 mêmes chiffres>". Cette caractéristique peut permettre le blocage ou la mise en place d'alertes via les serveurs mandataires.
À l'aide les échantillons remontés, le CERT-FR a constaté que les URLs de téléchargement du binaire Locky sont les suivantes :
http://avp-mech.ru_BAD_/7/7.exe
http://bebikiask.bc00.info_BAD_/5/5.exe
http://bnfoviesrdtnslo.uk_BAD_
http://cscrrxyiyc.be_BAD_
http://dkoipg.pw_BAD_
http://drhxvktlaprrhl.be_BAD_
http://dulichando.org_BAD_
http://fnarsipfqe.pw_BAD_
http://gahal.cz_BAD_
http://193.124.181.169_BAD_/main.php
http://195.154.241.208_BAD_/main.php
http://91.195.12.185_BAD_/main.php
http://91.234.33.206_BAD_/main.php
https://103.23.154.184_BAD_:443
https://103.245.153.70_BAD_:343
https://129.15.240.105_BAD_:443
https://140.78.60.4_BAD_:443
https://144.76.73.3_BAD_:1743
https://148.202.223.222_BAD_:443
https://174.70.100.90_BAD_:443
https://176.53.0.103_BAD_:443
https://181.177.231.245_BAD_:443
https://181.53.255.145_BAD_:444
https://185.24.92.236_BAD_:1743
https://185.47.108.92_BAD_:443
https://188.126.116.26_BAD_:443
https://193.17.184.250_BAD_:443
https://194.126.100.220_BAD_:443
https://200.57.183.176_BAD_:443
https://209.239.86.10_BAD_:443
https://217.35.78.204_BAD_:443
https://41.38.18.230_BAD_:443
https://41.86.46.245_BAD_:443
https://46.183.66.210_BAD_:443
https://62.109.133.248_BAD_:444
https://85.143.166.200_BAD_:1743
http://iamnickrobinson.com_BAD_
http://iynus.net_BAD_
http://jaomjlyvwxgdt.fr_BAD_
http://jbdog.it_BAD_
http://killerjeff.free.fr_BAD_/2/2.exe
http://kpybuhnosdrm.in_BAD_
http://luvenxj.uk_BAD_
http://vmanipalecom.net_BAD_
http://vodcxeeg.tf_BAD_
http://ofhhoowfmnuihyd.ru_BAD_
http://onigirigohan.web.fc2.com_BAD_/1/1.exe
http://premium34.tmweb.ru_BAD_/4/4.exe
http://qheksr.de_BAD_
http://sdwempsovemtr.yt_BAD_
http://seaclocks.co.uk_BAD_
http://tirohbvok.in_BAD_
http://uponor.otistores.com_BAD_/3/3.exe
http://vkrdbsrqpi.de_BAD_
http://vldxhdofpmcos.uk_BAD_
http://wpogw.it_BAD_
http://www.iglobali.com_BAD_
http://www.jesusdenazaret.com.ve_BAD_
http://www.southlife.church_BAD_
http://www.villaggio.airwave.at_BAD_
Mise à jour
Ajout de nouveaux marqueurs suite à une publication de McAfee (2016/02/22):
http://95.181.171.58_BAD_
http://185.14.30.97_BAD_
http://195.22.28.196_BAD_
http://195.22.28.198_BAD_
http://pvwinlrmwvccuo.eu_BAD_
http://cgavqeodnop.it_BAD_
http://kqlxtqptsmys.in_BAD_
http://wblejsfob.pw_BAD_
Mise à jour
Depuis le 29 févier 2016, le CERT-FR constate à l'échelle nationale une vague de pourriel sous la forme d'un message électronique provenant de l'opérateur de téléphonie mobile Free Mobile du type suivant :
Subject: Facture mobile du 29-02-2016
From: "Free Mobile" <freemobile@free-mobile.fr>
Date: 29/02/2016 12:01
To: <xxx@yyy.zzz>
Cher(e) abonne(e),
Veuillez trouver en piece jointe votre facture mobile du 01-02-2016, d'un montant de 19.99E.
Vous pouvez a tout moment desactiver la reception de votre facture par email dans votre espace abonne : http://mobile.free.fr
Sinceres salutations.
L'equipe Free
--
Free Mobile - SAS au capital de 365.138.779 Euros - RCS PARIS 499 247
138 -
Siege social : 16 rue de la Ville l'eveque 75008 Paris
Attachments:
Freemobile_0782884641_29-02-2016.pdf 1,7 KB
La pièce jointe est en fait une archive ZIP contenant un fichier javascript nommé EPSON000\<nombre à 10 chiffres>.js. Ce script va ensuite télécharger la charge malveillante. Parmi les échantillons analysés, les URLS suivantes sont utilisées pour ce téléchargement :
http://baiya_BAD_.org/image/templates/7ygvtyvb7niim.exe
http://bindulin_BAD_.by/system/logs/7ygvtyvb7niim.exe
http://english-well_BAD_.ru/assets/js/7ygvtyvb7niim.exe
http://kokliko_BAD_.com.ua/admin/swfupload/7ygvtyvb7niim.exe
http://liquor1.slvtechnologies_BAD_.com/system/logs/7ygvtyvb7niim.exe
http://mansolution_BAD_.in.th/system/logs/7ygvtyvb7niim.exe
http://u1847.netangels_BAD_.ru/system/smsgate/7ygvtyvb7niim.exe
http://www.notebooktable_BAD_.ru/system/logs/7ygvtyvb7niim.exe
Mise à jour
Nouveaux marqueurs (03/03/2016):
http://sm1_BAD_.by/vqmod/xml/76tr5rguinml.exe
http://dohoatrang.vn._BAD_/system/logs/23f3rf33.exe
Mise à jour
Nouveaux marqueurs (15/03/2016):
Téléchargement de la charge :
http://tech-cart.com._BAD_/system/logs/lkj87h.exe
http://mutlulukhayali.com._BAD_/system/logs/lkj87h.exe
Mise à jour
Nouveaux marqueurs (29/03/2016):
store.brugomug.co.uk._BAD_/765f46vb.exe
ggbongs.com._BAD_/765f46vb.exe
dragonex.com._BAD_/765f46vb.exe
homedesire.co.uk._BAD_/765f46vb.exe
scorpena.com._BAD_/765f46vb.exe
pockettypewriter.co.uk._BAD_/765f46vb.exe
enduro.si._BAD_/pdf/765f46vb.exe
185.130.7.22._BAD_/files/qFBC5Y.exe
Serveurs de Commande et Contrôle (CnC)
Sur la base des différentes sources ouvertes sur Internet ainsi que d'éléments transmis par des partenaires du CERT-FR, voici une liste d'URLs suspectées d'abriter des services de commande et contrôle. La mise en liste noire de ces adresses est à considérer dans le cadre d'une protection contre le rançongiciel Locky.
http://193.124.181.169_BAD_/main.php
http://195.154.241.208_BAD_/main.php
http://91.195.12.185_BAD_/main.php
http://91.234.33.206_BAD_/main.php
http://109.234.38.35_BAD_/main.php
http://lneqqkvxxogomu.eu_BAD_/main.php
http://qpdar.pw_BAD_/main.php
http://ydbayd.de_BAD_/main.php
http://ssojravpf.be_BAD_/main.php
http://gioaqjklhoxf.eu_BAD_/main.php
http://txlmnqnunppnpuq.ru_BAD_/main.php
http://jbdog.IT_BAD_/main.php
http://kpybuhnosdrm.in_BAD_/main.php
http://luvenxj.uk_BAD_/main.php
http://dkoipg.pw_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://91.219.29.55_BAD_/main.php
http://46.4.239.76_BAD_/main.php
http://94.242.57.45_BAD_/main.php
http://80.86.91.232_BAD_/main.php
http://wblejsfob.pw_BAD_/main.php
http://kqlxtqptsmys.in_BAD_/main.php
http://cgavqeodnop.it_BAD_/main.php
http://vpvwinlrmwvccuo.eu_BAD_/main.php
http://dltvwp.it_BAD_/main.php
http://uxvvm.us_BAD_/main.php
http://195.154.241.208_BAD_/main.php
http://kqlxtqptsmys.in_BAD_/main.php
http://cgavqeodnop.it_BAD_/main.php
http://pvwinlrmwvccuo.eu_BAD_/main.php
http://dltvwp.it_BAD_/main.php
http://uxvvm.us_BAD_/main.php
http://wblejsfob.pw_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://91.219.29.55_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://188.138.88.184_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://88.138.88.184_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://185.46.11.239_BAD_/main.php
http://185.22.67.27_BAD_/main.php
http://31.184.233.106_BAD_/main.php
http://pccibcjncnhjn.yt_BAD_/main.php
http://qtysmobytagnrv.it_BAD_/main.php
http://rddipikmrap.us_BAD_/main.php
http://suhpqiumpjsv.ru_BAD_/main.php
http://vkcims.pm_BAD_/main.php
http://5.34.183.136_BAD_/main.php
http://91.121.97.170_BAD_/main.php
http://188.138.88.184_BAD_/main.php
http://31.41.47.37_BAD_/main.php
http://kcdxkbsk.tf_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://91.219.29.55_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://kxsvgrpytxfar.tf_BAD_/main.php
http://nuhiqgn.yt_BAD_/main.php
http://qkcehlnkcuts.fr_BAD_/main.php
http://slkyatnnaq.eu_BAD_/main.php
http://tdhlnatbwyc.pm_BAD_/main.php
http://195.154.241.208_BAD_/main.php
http://46.4.239.76_BAD_/main.php
http://94.242.57.45_BAD_/main.php
http://kqlxtqptsmys.in_BAD_/main.php
http://cgavqeodnop.it_BAD_/main.php
http://pvwinlrmwvccuo.eu_BAD_/main.php
http://dltvwp.it_BAD_/main.php
http://uxvvm.us_BAD_/main.php
http://wblejsfob.pw_BAD_/main.php
http://91.121.97.170_BAD_/main.php
http://46.4.239.76_BAD_/main.php
http://31.184.233.106_BAD_/main.php
http://185.46.11.239_BAD_/main.php
http://69.195.129.70_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://91.219.29.55_BAD_/main.php
http://wblejsfob.pw_BAD_/main.php
http://dkoipg.pw_BAD_/main.php
http://85.25.149.246_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://192.71.213.69_BAD_/main.php
http://95.213.184.10_BAD_/main.php
http://192.121.16.196_BAD_/main.php
Mise à jour
Nouveaux marqueurs (15/03/2016). Liste de CnC pouvant être contactés :
149.154.157.14
37.235.53.18
89.108.85.163
212.47.223.19
192.121.16.196
Mise à jour
Nouveaux marqueurs (29/03/2016):
176.31.47.100._BAD_/submit.php
185.117.72.94._BAD_/submit.php
185.141.25.150._BAD_/submit.php
78.46.170.79._BAD_/submit.php
83.217.8.127._BAD_/submit.php
84.19.170.249._BAD_/submit.php
91.200.14.73._BAD_/submit.php
92.63.87.134._BAD_/submit.php
Solution
Mesures préventives
Le CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l'ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d'apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d'exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle.
Le CERT-FR recommande de configurer sur les postes de travail les restrictions logicielles pour empêcher l'exécution de code à partir d'une liste noire de répertoires :
- Si la solution utilisée est AppLocker, les règles de blocage
suivantes doivent être définies :
- OSDRIVE\Users\*\AppData\
- OSDRIVE\Windows\Temp\
- Si les restrictions logicielles (SRP) sont utilisées, les règles de
blocage suivantes doivent être définies :
- UserProfile\AppData
- SystemRoot\Temp
Il est important de vérifier que le service "Application Identity" (AppIDSvc) est paramétré en démarrage automatique sur l'ensemble des postes pour que les restrictions logicielles soient opérantes (ce mode de démarrage peut être paramétré à travers une politique de groupe sur le domaine Windows). Si des dysfonctionnements sont rencontrés suite au déploiement de ces règles de blocage, il est nécessaire d'identifier les applications légitimes situées dans ces répertoires, et de définir des règles en liste blanche afin d'autoriser leur exécution.
Le CERT-FR recommande également de mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin de publier des signatures en constante évolution. Par ailleurs, il convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier.
Enfin, le CERT-FR recommande d'effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) puis de vérifier qu'elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l'entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production.
Mesures réactives
Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés. Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service informatique au plus tôt. Le temps de revenir à une situation normale, le CERT-FR recommande également de positionner les permissions des dossiers partagés en LECTURE SEULE afin d'empêcher la destruction des fichiers sur les partages. Les personnels pourront continuer de travailler localement et mettre à jour ultérieurement le partage. Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.
Le CERT-FR recommande également de bloquer sur le serveur mandataire l'accès aux domaines ou URLs identifiés dans le message malveillant. L'objectif est de prévenir toute nouvelle compromission sur le même site. En complément, le CERT-FR recommande de rechercher et supprimer les messages malveillants similaires dans les boîtes de messagerie des utilisateurs. Par ailleurs, le CERT-FR recommande la réinstallation complète du poste et la restauration d'une sauvegarde réputée saine des données de l'utilisateur. De plus, dans le cadre de l'utilisation de profils itinérants, il convient de supprimer la copie serveur du profil afin de prévenir la propagation des codes malveillants par ce biais.
Enfin, les fichiers chiffrés peuvent être conservés par la victime au cas où dans le futur, un moyen de recouvrement des données originales serait découvert.
Cette alerte sera maintenue tant que le volume de message électronique constaté sera considéré significatif par le CERT-FR.
Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.
| Vendor | Product | Description |
|---|
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eTous les syst\u00e8mes d\u0027exploitations Windows peuvent \u00eatre victimes de ce logiciel malveillant.\u003c/p\u003e ",
"closed_at": "2016-04-07",
"content": "## Solution\n\n### Mesures pr\u00e9ventives\n\nLe CERT-FR recommande de sensibiliser les utilisateurs aux risques\nassoci\u00e9s aux messages \u00e9lectroniques pour \u00e9viter l\u0027ouverture de pi\u00e8ces\njointes. Il convient en effet de ne pas cliquer sans v\u00e9rification\npr\u00e9alable sur les liens de messages et les pi\u00e8ces jointes. Les\nutilisateurs ne doivent pas ouvrir des messages \u00e9lectroniques de\nprovenance inconnue, d\u0027apparence inhabituelle ou frauduleuse. Plus\ng\u00e9n\u00e9ralement, il convient de mettre \u00e0 jour les postes utilisateurs,\nnotamment le syst\u00e8me d\u0027exploitation et les applications expos\u00e9es sur\nInternet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans\nle cas o\u00f9 le code malveillant (ou une variante) exploiterait une\nvuln\u00e9rabilit\u00e9 logicielle.\n\nLe CERT-FR recommande de configurer sur les postes de travail les\nrestrictions logicielles pour emp\u00eacher l\u0027ex\u00e9cution de code \u00e0 partir\nd\u0027une liste noire de r\u00e9pertoires :\n\n- Si la solution utilis\u00e9e est AppLocker, les r\u00e8gles de blocage\n suivantes doivent \u00eatre d\u00e9finies :\n - OSDRIVE\\\\Users\\\\\\*\\\\AppData\\\\\n - OSDRIVE\\\\Windows\\\\Temp\\\\\n- Si les restrictions logicielles (SRP) sont utilis\u00e9es, les r\u00e8gles de\n blocage suivantes doivent \u00eatre d\u00e9finies :\n - UserProfile\\\\AppData\n - SystemRoot\\\\Temp\n\nIl est important de v\u00e9rifier que le service \"Application Identity\"\n(AppIDSvc) est param\u00e9tr\u00e9 en d\u00e9marrage automatique sur l\u0027ensemble des\npostes pour que les restrictions logicielles soient op\u00e9rantes (ce mode\nde d\u00e9marrage peut \u00eatre param\u00e9tr\u00e9 \u00e0 travers une politique de groupe sur\nle domaine Windows). Si des dysfonctionnements sont rencontr\u00e9s suite au\nd\u00e9ploiement de ces r\u00e8gles de blocage, il est n\u00e9cessaire d\u0027identifier les\napplications l\u00e9gitimes situ\u00e9es dans ces r\u00e9pertoires, et de d\u00e9finir des\nr\u00e8gles en liste blanche afin d\u0027autoriser leur ex\u00e9cution.\n\nLe CERT-FR recommande \u00e9galement de mettre \u00e0 jour les logiciels antivirus\ndu parc informatique (postes utilisateurs, passerelle de messagerie,\netc.). Le code malveillant \u00e9tant polymorphe, les \u00e9diteurs antivirus ont\nbesoin de publier des signatures en constante \u00e9volution. Par ailleurs,\nil convient d\u0027envoyer d\u00e8s que possible un exemplaire du code malveillant\n\u00e0 votre \u00e9diteur de logiciel antivirus si la variante n\u0027est pas d\u00e9tect\u00e9e\npar ce dernier.\n\nEnfin, le CERT-FR recommande d\u0027effectuer des sauvegardes saines et\nr\u00e9guli\u00e8res des syst\u00e8mes et des donn\u00e9es (postes de travail, serveurs)\npuis de v\u00e9rifier qu\u0027elles se sont correctement d\u00e9roul\u00e9es. Les\nsauvegardes ant\u00e9rieures ne doivent pas \u00eatre \u00e9cras\u00e9es (cas o\u00f9 une version\nchiffr\u00e9e aurait \u00e9t\u00e9 sauvegard\u00e9e). Les sauvegardes doivent \u00eatre r\u00e9alis\u00e9es\nen priorit\u00e9 sur les serveurs h\u00e9bergeant des donn\u00e9es critiques pour le\nfonctionnement de l\u0027entit\u00e9. Celles-ci doivent \u00eatre stock\u00e9es sur des\nsupports de donn\u00e9es isol\u00e9s du r\u00e9seau en production.\n\n### Mesures r\u00e9actives\n\nSi le code malveillant est d\u00e9couvert sur vos syst\u00e8mes, le CERT-FR\nrecommande de d\u00e9connecter imm\u00e9diatement du r\u00e9seau les machines\nidentifi\u00e9es comme compromises. L\u0027objectif est de bloquer la poursuite du\nchiffrement et la destruction des documents partag\u00e9s. Le CERT-FR\nrecommande aussi d\u0027alerter le responsable s\u00e9curit\u00e9 ou le service\ninformatique au plus t\u00f4t. Le temps de revenir \u00e0 une situation normale,\nle CERT-FR recommande \u00e9galement de positionner les permissions des\ndossiers partag\u00e9s en LECTURE SEULE afin d\u0027emp\u00eacher la destruction des\nfichiers sur les partages. Les personnels pourront continuer de\ntravailler localement et mettre \u00e0 jour ult\u00e9rieurement le partage. Aussi,\nle CERT-FR recommande de prendre le temps de sauvegarder les fichiers\nimportants sur des supports de donn\u00e9es isol\u00e9s. Ces fichiers peuvent \u00eatre\nalt\u00e9r\u00e9s ou encore \u00eatre infect\u00e9s. Il convient donc de les traiter comme\ntels. De plus, les sauvegardes ant\u00e9rieures doivent \u00eatre pr\u00e9serv\u00e9es\nd\u0027\u00e9crasement par des sauvegardes plus r\u00e9centes.\n\nLe CERT-FR recommande \u00e9galement de bloquer sur le serveur mandataire\nl\u0027acc\u00e8s aux domaines ou URLs identifi\u00e9s dans le message malveillant.\nL\u0027objectif est de pr\u00e9venir toute nouvelle compromission sur le m\u00eame\nsite. En compl\u00e9ment, le CERT-FR recommande de rechercher et supprimer\nles messages malveillants similaires dans les bo\u00eetes de messagerie des\nutilisateurs. Par ailleurs, le CERT-FR recommande la r\u00e9installation\ncompl\u00e8te du poste et la restauration d\u0027une sauvegarde r\u00e9put\u00e9e saine des\ndonn\u00e9es de l\u0027utilisateur. De plus, dans le cadre de l\u0027utilisation de\nprofils itin\u00e9rants, il convient de supprimer la copie serveur du profil\nafin de pr\u00e9venir la propagation des codes malveillants par ce biais.\n\nEnfin, les fichiers chiffr\u00e9s peuvent \u00eatre conserv\u00e9s par la victime au\ncas o\u00f9 dans le futur, un moyen de recouvrement des donn\u00e9es originales\nserait d\u00e9couvert.\n\nCette alerte sera maintenue tant que le volume de message \u00e9lectronique\nconstat\u00e9 sera consid\u00e9r\u00e9 significatif par le CERT-FR.\n",
"cves": [],
"links": [
{
"title": "",
"url": "https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26383/en_US/McAfee_Labs_Threat_Advisory_Ransomware_Locky.pdf"
}
],
"reference": "CERTFR-2016-ALE-001",
"revisions": [
{
"description": "version initiale ;",
"revision_date": "2016-02-19T00:00:00.000000"
},
{
"description": "ajout des serveurs de Commande et Contr\u00f4le ;",
"revision_date": "2016-03-02T00:00:00.000000"
},
{
"description": "Cl\u00f4ture de l\u0027alerte.",
"revision_date": "2016-04-07T00:00:00.000000"
}
],
"risks": [
{
"description": "Installation d\u0027un logiciel malveillant de type locky"
}
],
"summary": "Depuis la mi-f\u00e9vrier 2016, le CERT-FR constate \u00e0 l\u0027\u00e9chelle nationale une\nvague de pourriels dont le taux de blocage par les passerelles\nanti-pourriel est relativement faible. Ces pourriels ont pour objectif\nla diffusion du ran\u00e7ongiciel Locky.\n\nUn ran\u00e7ongiciel est un programme malveillant qui chiffre les donn\u00e9es du\nposte compromis. Il va \u00e9galement cibler les partages de fichiers\naccessibles depuis le compte utilisateur dont la session est compromise.\nCelui-ci est ex\u00e9cut\u00e9, dans le cas pr\u00e9sent, par une action de\nl\u0027utilisateur. La victime est ensuite invit\u00e9e \u00e0 verser de l\u0027argent afin\nque l\u0027attaquant d\u00e9chiffre les fichiers cibl\u00e9s.\n\nDans le cadre de cette campagne, et d\u0027apr\u00e8s les \u00e9chantillons que le\nCERT-FR a observ\u00e9s, la diffusion de Locky s\u0027effectue par l\u0027interm\u00e9diaire\nd\u0027un pourriel dans lequel se trouve une pi\u00e8ce jointe au format doc. Ce\ndocument Microsoft Office contient un texte illisible ainsi qu\u0027un\nmessage indiquant la n\u00e9cessit\u00e9 d\u0027activer les macros pour l\u0027affichage\ncorrect du message. Macro dont l\u0027objectif est la r\u00e9cup\u00e9ration puis\nl\u0027ex\u00e9cution du malware. L\u0027ex\u00e9cution de ce dernier entraine le\nchiffrement des donn\u00e9es et les fichiers sont renomm\u00e9s avec l\u0027extension\n\".locky\".\n\nIl est int\u00e9ressant de noter que le message el\u00e9ctronique a pour sujet\n\"ATTN: Invoice J-\\\u003c8 chiffres\\\u003e\" et la pi\u00e8ce jointe pour nom\n\"invoice_J-\\\u003c8 m\u00eames chiffres\\\u003e\". Cette caract\u00e9ristique peut permettre\nle blocage ou la mise en place d\u0027alertes via les serveurs mandataires.\n\n\u00c0 l\u0027aide les \u00e9chantillons remont\u00e9s, le CERT-FR a constat\u00e9 que les URLs\nde t\u00e9l\u00e9chargement du binaire Locky sont les suivantes :\n\n http://avp-mech.ru_BAD_/7/7.exe\n http://bebikiask.bc00.info_BAD_/5/5.exe\n http://bnfoviesrdtnslo.uk_BAD_\n http://cscrrxyiyc.be_BAD_\n http://dkoipg.pw_BAD_\n http://drhxvktlaprrhl.be_BAD_\n http://dulichando.org_BAD_\n http://fnarsipfqe.pw_BAD_\n http://gahal.cz_BAD_\n http://193.124.181.169_BAD_/main.php\n http://195.154.241.208_BAD_/main.php\n http://91.195.12.185_BAD_/main.php\n http://91.234.33.206_BAD_/main.php\n https://103.23.154.184_BAD_:443\n https://103.245.153.70_BAD_:343\n https://129.15.240.105_BAD_:443\n https://140.78.60.4_BAD_:443\n https://144.76.73.3_BAD_:1743\n https://148.202.223.222_BAD_:443\n https://174.70.100.90_BAD_:443\n https://176.53.0.103_BAD_:443\n https://181.177.231.245_BAD_:443\n https://181.53.255.145_BAD_:444\n https://185.24.92.236_BAD_:1743\n https://185.47.108.92_BAD_:443\n https://188.126.116.26_BAD_:443\n https://193.17.184.250_BAD_:443\n https://194.126.100.220_BAD_:443\n https://200.57.183.176_BAD_:443\n https://209.239.86.10_BAD_:443\n https://217.35.78.204_BAD_:443\n https://41.38.18.230_BAD_:443\n https://41.86.46.245_BAD_:443\n https://46.183.66.210_BAD_:443\n https://62.109.133.248_BAD_:444\n https://85.143.166.200_BAD_:1743\n http://iamnickrobinson.com_BAD_\n http://iynus.net_BAD_\n http://jaomjlyvwxgdt.fr_BAD_\n http://jbdog.it_BAD_\n http://killerjeff.free.fr_BAD_/2/2.exe\n http://kpybuhnosdrm.in_BAD_\n http://luvenxj.uk_BAD_\n http://vmanipalecom.net_BAD_\n http://vodcxeeg.tf_BAD_\n http://ofhhoowfmnuihyd.ru_BAD_\n http://onigirigohan.web.fc2.com_BAD_/1/1.exe\n http://premium34.tmweb.ru_BAD_/4/4.exe\n http://qheksr.de_BAD_\n http://sdwempsovemtr.yt_BAD_\n http://seaclocks.co.uk_BAD_\n http://tirohbvok.in_BAD_\n http://uponor.otistores.com_BAD_/3/3.exe\n http://vkrdbsrqpi.de_BAD_\n http://vldxhdofpmcos.uk_BAD_\n http://wpogw.it_BAD_\n http://www.iglobali.com_BAD_\n http://www.jesusdenazaret.com.ve_BAD_\n http://www.southlife.church_BAD_\n http://www.villaggio.airwave.at_BAD_\n\n##### \u003cspan id=\"SECTION00040001000000000000\"\u003e\u003c/span\u003eMise \u00e0 jour\n\nAjout de nouveaux marqueurs suite \u00e0 une publication de McAfee\n(2016/02/22):\n\n http://95.181.171.58_BAD_\n http://185.14.30.97_BAD_\n http://195.22.28.196_BAD_\n http://195.22.28.198_BAD_\n http://pvwinlrmwvccuo.eu_BAD_\n http://cgavqeodnop.it_BAD_\n http://kqlxtqptsmys.in_BAD_\n http://wblejsfob.pw_BAD_\n\n##### \u003cspan id=\"SECTION00040002000000000000\"\u003e\u003c/span\u003eMise \u00e0 jour\n\nDepuis le 29 f\u00e9vier 2016, le CERT-FR constate \u00e0 l\u0027\u00e9chelle nationale une\nvague de pourriel sous la forme d\u0027un message \u00e9lectronique provenant de\nl\u0027op\u00e9rateur de t\u00e9l\u00e9phonie mobile Free Mobile du type suivant :\n\n Subject: Facture mobile du 29-02-2016\n From: \"Free Mobile\" \u003cfreemobile@free-mobile.fr\u003e\n Date: 29/02/2016 12:01\n To: \u003cxxx@yyy.zzz\u003e\n\nCher(e) abonne(e),\n\nVeuillez trouver en piece jointe votre facture mobile du 01-02-2016,\nd\u0027un montant de 19.99E.\n\nVous pouvez a tout moment desactiver la reception de votre facture par\nemail dans votre espace abonne : http://mobile.free.fr\n\nSinceres salutations.\n\nL\u0027equipe Free\n\n-- \nFree Mobile - SAS au capital de 365.138.779 Euros - RCS PARIS 499 247\n138 - \nSiege social : 16 rue de la Ville l\u0027eveque 75008 Paris\n\nAttachments: \nFreemobile_0782884641_29-02-2016.pdf 1,7 KB\n\nLa pi\u00e8ce jointe est en fait une archive ZIP contenant un fichier\njavascript nomm\u00e9 EPSON000\\\u003cnombre \u00e0 10 chiffres\\\u003e.js. Ce script va\nensuite t\u00e9l\u00e9charger la charge malveillante. Parmi les \u00e9chantillons\nanalys\u00e9s, les URLS suivantes sont utilis\u00e9es pour ce t\u00e9l\u00e9chargement :\n\n http://baiya_BAD_.org/image/templates/7ygvtyvb7niim.exe\n http://bindulin_BAD_.by/system/logs/7ygvtyvb7niim.exe\n http://english-well_BAD_.ru/assets/js/7ygvtyvb7niim.exe\n http://kokliko_BAD_.com.ua/admin/swfupload/7ygvtyvb7niim.exe\n http://liquor1.slvtechnologies_BAD_.com/system/logs/7ygvtyvb7niim.exe\n http://mansolution_BAD_.in.th/system/logs/7ygvtyvb7niim.exe\n http://u1847.netangels_BAD_.ru/system/smsgate/7ygvtyvb7niim.exe\n http://www.notebooktable_BAD_.ru/system/logs/7ygvtyvb7niim.exe\n\n##### \u003cspan id=\"SECTION00040003000000000000\"\u003e\u003c/span\u003eMise \u00e0 jour\n\nNouveaux marqueurs (03/03/2016):\n\n http://sm1_BAD_.by/vqmod/xml/76tr5rguinml.exe\n http://dohoatrang.vn._BAD_/system/logs/23f3rf33.exe\n\n##### \u003cspan id=\"SECTION00040004000000000000\"\u003e\u003c/span\u003eMise \u00e0 jour\n\nNouveaux marqueurs (15/03/2016):\n\nT\u00e9l\u00e9chargement de la charge :\n\n http://tech-cart.com._BAD_/system/logs/lkj87h.exe\n http://mutlulukhayali.com._BAD_/system/logs/lkj87h.exe\n\n##### \u003cspan id=\"SECTION00040005000000000000\"\u003e\u003c/span\u003eMise \u00e0 jour\n\nNouveaux marqueurs (29/03/2016):\n\n store.brugomug.co.uk._BAD_/765f46vb.exe\n ggbongs.com._BAD_/765f46vb.exe\n dragonex.com._BAD_/765f46vb.exe\n homedesire.co.uk._BAD_/765f46vb.exe\n scorpena.com._BAD_/765f46vb.exe\n pockettypewriter.co.uk._BAD_/765f46vb.exe\n enduro.si._BAD_/pdf/765f46vb.exe\n 185.130.7.22._BAD_/files/qFBC5Y.exe\n\n#### \u003cspan id=\"SECTION00040010000000000000\"\u003e\u003c/span\u003eServeurs de Commande et Contr\u00f4le (CnC)\n\nSur la base des diff\u00e9rentes sources ouvertes sur Internet ainsi que\nd\u0027\u00e9l\u00e9ments transmis par des partenaires du CERT-FR, voici une liste\nd\u0027URLs suspect\u00e9es d\u0027abriter des services de commande et contr\u00f4le. La\nmise en liste noire de ces adresses est \u00e0 consid\u00e9rer dans le cadre d\u0027une\nprotection contre le ran\u00e7ongiciel Locky.\n\n http://193.124.181.169_BAD_/main.php\n http://195.154.241.208_BAD_/main.php\n http://91.195.12.185_BAD_/main.php\n http://91.234.33.206_BAD_/main.php\n http://109.234.38.35_BAD_/main.php\n http://lneqqkvxxogomu.eu_BAD_/main.php\n http://qpdar.pw_BAD_/main.php\n http://ydbayd.de_BAD_/main.php\n http://ssojravpf.be_BAD_/main.php\n http://gioaqjklhoxf.eu_BAD_/main.php\n http://txlmnqnunppnpuq.ru_BAD_/main.php\n http://jbdog.IT_BAD_/main.php\n http://kpybuhnosdrm.in_BAD_/main.php\n http://luvenxj.uk_BAD_/main.php\n http://dkoipg.pw_BAD_/main.php\n http://31.184.197.119_BAD_/main.php\n http://5.34.183.195_BAD_/main.php\n http://51.254.19.227_BAD_/main.php\n http://91.219.29.55_BAD_/main.php\n http://46.4.239.76_BAD_/main.php\n http://94.242.57.45_BAD_/main.php\n http://80.86.91.232_BAD_/main.php\n http://wblejsfob.pw_BAD_/main.php\n http://kqlxtqptsmys.in_BAD_/main.php\n http://cgavqeodnop.it_BAD_/main.php\n http://vpvwinlrmwvccuo.eu_BAD_/main.php\n http://dltvwp.it_BAD_/main.php\n http://uxvvm.us_BAD_/main.php\n http://195.154.241.208_BAD_/main.php\n http://kqlxtqptsmys.in_BAD_/main.php\n http://cgavqeodnop.it_BAD_/main.php\n http://pvwinlrmwvccuo.eu_BAD_/main.php\n http://dltvwp.it_BAD_/main.php\n http://uxvvm.us_BAD_/main.php\n http://wblejsfob.pw_BAD_/main.php\n http://185.14.29.188_BAD_/main.php\n http://91.219.29.55_BAD_/main.php\n http://5.34.183.195_BAD_/main.php\n http://188.138.88.184_BAD_/main.php\n http://31.184.197.119_BAD_/main.php\n http://51.254.19.227_BAD_/main.php\n http://5.34.183.195_BAD_/main.php\n http://185.14.29.188_BAD_/main.php\n http://88.138.88.184_BAD_/main.php\n http://31.184.197.119_BAD_/main.php\n http://51.254.19.227_BAD_/main.php\n http://5.34.183.195_BAD_/main.php\n http://185.14.29.188_BAD_/main.php\n http://31.184.197.119_BAD_/main.php\n http://185.46.11.239_BAD_/main.php\n http://185.22.67.27_BAD_/main.php\n http://31.184.233.106_BAD_/main.php\n http://pccibcjncnhjn.yt_BAD_/main.php\n http://qtysmobytagnrv.it_BAD_/main.php\n http://rddipikmrap.us_BAD_/main.php\n http://suhpqiumpjsv.ru_BAD_/main.php\n http://vkcims.pm_BAD_/main.php\n http://5.34.183.136_BAD_/main.php\n http://91.121.97.170_BAD_/main.php\n http://188.138.88.184_BAD_/main.php\n http://31.41.47.37_BAD_/main.php\n http://kcdxkbsk.tf_BAD_/main.php\n http://31.184.197.119_BAD_/main.php\n http://51.254.19.227_BAD_/main.php\n http://91.219.29.55_BAD_/main.php\n http://5.34.183.195_BAD_/main.php\n http://185.14.29.188_BAD_/main.php\n http://kxsvgrpytxfar.tf_BAD_/main.php\n http://nuhiqgn.yt_BAD_/main.php\n http://qkcehlnkcuts.fr_BAD_/main.php\n http://slkyatnnaq.eu_BAD_/main.php\n http://tdhlnatbwyc.pm_BAD_/main.php\n http://195.154.241.208_BAD_/main.php\n http://46.4.239.76_BAD_/main.php\n http://94.242.57.45_BAD_/main.php\n http://kqlxtqptsmys.in_BAD_/main.php\n http://cgavqeodnop.it_BAD_/main.php\n http://pvwinlrmwvccuo.eu_BAD_/main.php\n http://dltvwp.it_BAD_/main.php\n http://uxvvm.us_BAD_/main.php\n http://wblejsfob.pw_BAD_/main.php\n http://91.121.97.170_BAD_/main.php\n http://46.4.239.76_BAD_/main.php\n http://31.184.233.106_BAD_/main.php\n http://185.46.11.239_BAD_/main.php\n http://69.195.129.70_BAD_/main.php\n http://5.34.183.195_BAD_/main.php\n http://31.184.197.119_BAD_/main.php\n http://51.254.19.227_BAD_/main.php\n http://91.219.29.55_BAD_/main.php\n http://wblejsfob.pw_BAD_/main.php\n http://dkoipg.pw_BAD_/main.php\n http://85.25.149.246_BAD_/main.php\n http://31.184.197.119_BAD_/main.php\n http://51.254.19.227_BAD_/main.php\n http://185.14.29.188_BAD_/main.php\n http://192.71.213.69_BAD_/main.php\n http://95.213.184.10_BAD_/main.php\n http://192.121.16.196_BAD_/main.php\n\n##### \u003cspan id=\"SECTION00040011000000000000\"\u003e\u003c/span\u003eMise \u00e0 jour\n\nNouveaux marqueurs (15/03/2016). Liste de CnC pouvant \u00eatre contact\u00e9s :\n\n 149.154.157.14\n 37.235.53.18\n 89.108.85.163\n 212.47.223.19\n 192.121.16.196\n\n##### \u003cspan id=\"SECTION00040012000000000000\"\u003e\u003c/span\u003eMise \u00e0 jour\n\nNouveaux marqueurs (29/03/2016):\n\n 176.31.47.100._BAD_/submit.php\n 185.117.72.94._BAD_/submit.php\n 185.141.25.150._BAD_/submit.php\n 78.46.170.79._BAD_/submit.php\n 83.217.8.127._BAD_/submit.php\n 84.19.170.249._BAD_/submit.php\n 91.200.14.73._BAD_/submit.php\n 92.63.87.134._BAD_/submit.php\n",
"title": "Campagne de messages \u00e9lectroniques non sollicit\u00e9s de type Locky",
"vendor_advisories": []
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.