• Accueil
  • > Archives pour le Samedi 26 mars 2016

Archives pour 26 mars, 2016

Le trojan crypto-rançonneur Locky se dévoile de plus en plus

Hier, le site Rue89 lui a consacré cet article, presque complet :

 

http://rue89.nouvelobs.com/2016/03/25/dix-choses-a-savoir-locky-nouvelle-plaie-ordis-263565

Dix trucs à savoir sur Locky, la nouvelle plaie de vos ordis

 

Il rend vos fichiers illisibles, et demande une rançon en échange de la clé qui permettra de revenir à la normale. Voici tout ce que vous devez savoir pour ne pas vous faire piéger.

Par Andréa Fradin Journaliste. Publié le 25/03/2016 à 11h06
89 877 visites 68 réactions   1

 

Son nom fait tout de suite songer au vilain dieu de la mythologie nordique. A raison. Locky est l’une des dernières plaies à circuler sur le réseau. Des hostos américains, une PME bisontine, l’Agence France-Presse, une hydrolienne au large d’Ouessant : les cibles sont nombreuses et la contamination évidente.

Le principe est simple : une fois ouvert sur votre ordinateur, ce programme bloque les principaux fichiers qui y sont stockés et réclame, en échange de la clé qui les rendra de nouveau lisibles, de l’argent.

Pour se prémunir de ce « ransomware » (ou « rançongiciel » en français bidouillé), voilà dix choses à garder en tête.

Lire la suite sur le site

 

Extraits :

 

6

On le retrouve partout dans le monde

 

Locky a fait de nombreuses victimes, un peu partout dans le monde, dont certaines se sont fait connaître du grand public.

Ici, le cas d’une petite entreprise dans L’Est Républicain :

« J’attendais des tarifs d’un grossiste italien. [...] J’ai reçu un mail avec un pdf, le corps du texte était écrit en anglais. Je suis habituellement vigilant mais là je me suis dit que c’était le document que j’attendais par mail. J’ai ouvert la pièce jointe… »

Là, l’exemple de l’AFP, dont on a déjà parlé. Là encore, celui d’une hydrolienne au large d’Ouessant.

Plus inquiétant, le cas d’un hôpital américain californien, qui a versé l’équivalent de 17 000 dollars aux rançonneurs. Il faut dire que son système informatique s’est vu paralysé pendant tout une semaine.

Au regard d’observations réalisées sur la clientèle de Trend Micro, Loïc Guezo confirme que le secteur médical constitue une cible de choix pour Locky. Y compris en France, globalement dans le viseur de la campagne de propagation actuelle. Le 22 mars, un hôpital de Boulogne-sur-Mer racontait sa mésaventure dans la presse locale.

Selon nos informations, le ministère de la Santé aurait reçu une centaine de signalements liés à des rançongiciels du type Locky depuis le début du mois de mars. Contacté, il n’a pour le moment pas réagi.

On a aussi repéré des cas en Allemagne et en Amérique latine.

7

On ignore l’identité de ceux qui se cachent derrière Locky

 

Maghreb, Russie, voire offensive « russo-cubaine ». Si beaucoup spéculent sur l’identité de ceux qui se cachent derrière Locky, il faut être très prudent – comme toujours en matière de sécurité informatique.

Nos interlocuteurs ajoutent que les personnes qui ont fait des victimes en France ne sont pas forcément les mêmes qui ont lancé des offensives ailleurs dans le monde. Ou que celles à l’origine de ce programmes : ce genre de logiciels peuvent être achetés, et les rançons ensuite réajustées, par les criminels qui en font l’acquisition.

Pour avoir une piste sur l’origine de Locky, les différents labo et boîtes de sécurité vont essayer de détecter des éléments repérés lors de précédentes vagues d’attaques.

8

Il est pénible pour les antivirus

 

En France, explique Stéphane Bortzmeyer, « il y a une semaine, Locky passait encore les antivirus. »

Représentant l’un vendeur de ce type d’outil, Loic Guezo rappelle que quand un nouveau produit apparaît, il faut du temps pour l’identifier.

« Ça pose toujours problème dans la phase récente de la contamination. »

L’autre souci, c’est que Locky est relativement imprévisible : quand il se connecte sur Internet pour donner à ses maîtres les clés qu’il a générées pour chiffrer les fichiers de ses cibles, il ne se rend jamais sur la même adresse.

« C’est une technique classique, reprend Stéphane Bortzmeyer, le “Domain generation algorithm” ou DGA. » Chaque jour, un ou plusieurs noms de domaine sont générés, comme autant de points de rendez-vous. Et autant de moyens de ne pas se faire gauler.

Commentaire de Loïc Guézo :

« C’est effectivement un problème pour les éditeurs. Mais il y a des moyens de le contourner, en identifiant des séquences, ou des adresses IP, pour voir si elles sont connues. »

 

 

Toutes ces précisions que la journaliste a pu obtenir correspondent bien à ce que j’avais déjà indiqué sur ce blog à propos de l’identité des attaquants, à l’évidence des voleurs de dossiers médicaux sentant très fort la cegette et sa Josette.

Leur complice le cyberdélinquant Pascal Edouard Cyprien Luraghi, qui réussit toujours à se trahir avec ses provocations publiques (mais il le fait exprès, adorant comme tout pervers se vanter de ses exploits), a d’ailleurs laissé sous cet article le commentaire suivant :

 

Publié le 25/03/2016 à 18h05
Le trojan crypto-rançonneur Locky se dévoile de plus en plus dans Corruption hilsenrath1

Itzig Finkelstein

génocidé
répond à caro

Le problème du travail, c’est que moins y en a, mieux je me porte mais c’est tout aussi vrai pour mon compte en banque ; -)

La prochaine vie, je ferais rentier, tiens…

 

Cinq jours plus tôt, il avait déjà écrit sur son blog public :

 

Coup de rouge

Par cyp | Publié : 20 mars 2016

 

Une des spécialités de mon atelier de dépannage informatique est la récupération de données sur supports amochés. Souvent les clients me confient des disques durs en compote avec les photos précieuses du petit dernier et de la belle-mère, la compta de leur boîte et compagnie. Évidemment, ils n’ont fait aucune copie de secours et ils pleurent beaucoup. C’est une tâche délicate qui demande du doigté et pas mal de savoir-faire et c’est toujours plaisant de voir les clients sourire en me signant leur chèque à la sortie…

 

 

Je rappelle ici les adresses IP et dates d’envoi de la saleté sur ma propre messagerie :

 

- le 1er mars 2016 à 9h39 :

IP-Adresse: 193.255.129.176
Provider: National Academic Network and Information Center
Organisation: Mersin University
Region: Mersin (TR)

 

 

 

Pays : Turquie

 

- le 7 mars 2016 à 11h12 :

IP-Adresse: 182.74.177.57
Provider: Bharti Broadband
Organisation: BHARTI Airtel

 

 

 

Pays : Inde

 

- le 9 mars 2016 à 14h30 :

IP-Adresse: 123.252.180.63
Provider: Tata Teleservices Maharashtra Ltd

 

 

Pays : Inde

Message envoyé d’un iPhone.

 

- le 12 mars 2016 à 9h34 :

IP-Adresse: 202.191.232.134
Provider: Sify Limited
Region: Gurgaon (IN)

 

 

 

Pays : Inde

 

- le 13 mars 2016 à 18h01 :

IP-Adresse: 46.19.226.1
Provider: Kujtesa Net Sh.p.k.

 

 

Pays : Albanie

 

 

L’on notera enfin que les locuteurs russes sont tous épargnés :

 

https://www.lexsi.com/securityhub/comment-creer-un-vaccin-contre-le-ransomware-locky/

Comment créer un vaccin contre le ransomware Locky

 

En 2009, nous avions appliqué la notion de vaccin à Conficker.C afin de protéger les postes contre ce ver se propageant très rapidement sur les parcs informatiques. Voyons si nous pouvons appliquer le même concept au ransomware Locky.

Dans la suite du billet, nous appellerons vaccin toute modification mineure du système ayant pour objet de bloquer, sans intervention utilisateur, tout ou partie des effets néfastes liés à l’exécution d’un programme malveillant. Evidemment, le vaccin doit être administré avant que la maladie n’arrive…

Par modification mineure, on entend par exemple la création d’un mutex ou d’une clé de registre spécifiques, ou bien une modification simple des paramètres n’entraînant pas de désagrément pour l’utilisateur. A titre de contre-exemple, au début de son exécution, Locky vérifie les paramètres de langue du système et n’infecte pas ceux configurés en langue Russe :locky_ru

On peut donc configurer le système en langue russe pour empêcher l’infection mais cela risque de se révéler assez peu pratique au quotidien :)

 

Lire la suite sur le site

 

Un « journaliste indépendant » identifié comme l’un des terroristes du 22 mars 2016

Ses activités particulières le rattachent à la bande du cyberdélinquant et grand maître terro Pascal Edouard Cyprien Luraghi.

En effet, celle-ci s’était constituée en 2008 autour d’un noyau dur de militants de la cause des sans-papiers ayant investi le site Rue89 entre 2007 et 2008 pour y prolonger leur lutte sur le terrain médiatique.

 

http://france3-regions.francetvinfo.fr/nord-pas-de-calais/attentats-de-bruxelles-l-homme-au-chapeau-identifie-960951.html

Attentats de Bruxelles : l’ »homme au chapeau » identifié ?

 

Selon le journal belge Le Soir, l’homme au chapeau filmé mardi à l’aéroport de Zaventem aux côtés des deux kamikazes qui se sont faits exploser a été identifié par le chauffeur de taxi qui avait transporté, sans le savoir, le commando terroriste. Il s’agirait de Fayçal Cheffou, interpellé jeudi.  

  • @f3nord
  • Publié le 26/03/2016 | 12:31, mis à jour le 26/03/2016 | 12:55
© AFP / Police fédérale belge Selon Le Soir, l’homme au chapeau serait Fayçal Cheffou.
Selon Le Soir, qui cite des sources policières, les enquêteurs belges ont pu enfin mettre un nom sur ce mystérieux homme au chapeau qui accompagnait mardi les deux kamikazes qui se sont faits exploser à l’aéroport de Zaventem et qui a lui même déposé un sac contenant des explosifs (qui n’ont finalement pas explosé) avant de s’enfuir.

© AFP / Police fédérale belge Le suspect filmé par les caméras de vidéosurveillance de l’aéroport.

Le chauffeur de taxi qui avait transporté, sans le savoir, le commando terroriste depuis un appartement de la commune de Schaerbeek, a reconnu Fayçal Cheffou, l’un des suspects interpellés jeudi devant le parquet fédéral de Bruxelles. « Le taximan l’aurait identifié suite à un « tapissage », une confrontation visuelle, parmi les supects de l’attentat de Bruxelles« , écrit le quotidien belge. « L’examen du contenu des caméras de surveillance entre l’aéroport et la place Meiser (à Schaerbeek NDR) a permis d’établir sa fuite« .

© Capture d’écran Youtube Fayçal Cheffou dans une vidéo diffusée sur Youtube.

Fayçal Cheffou était déjà connus de services de police belges et soupçonné d’être un recruteur des filières djihadistes. Ce Bruxellois, qui se présentait comme « journaliste indépendant »,  avait notamment dénoncé dans des vidéos postées sur internet le fait que des personnes en séjour illégal, détenues dans un centre fermé, recevaient leur repas du soir avant la rupture du jeûne en période de ramadan. La police locale l’avait arrêté administrativement à plusieurs reprises au parc Maximilien, devant l’Office des étrangers alors qu’il tentait de rallier des demandeurs d’asile ou des sans-papiers à l’islam radical. Le bourgmestre de Bruxelles, Yvan Mayeur, l’avait dénoncé à plusieurs reprises au parquet.

Video diffusée sur internet par Fayçal Cheffou.


Yin

cuy gracioso 3

Aime le potage

Avis du 3 février 2015

Ce blog a été créé le 6 janvier 2015 pour prendre le relais du Petitcoucou venant d'être suspendu sans préavis ni avertissement en milieu de journée. Ayant eu cette fonction jusqu'au 1er février 2015, il devient un doublon du Petitcoucou suite à la réouverture de ce dernier après trois semaines de suspension, et sa reprise d'activité à compter du 2 février 2015.

Sondage

Aimez-vous ce blog ?

Chargement ... Chargement ...

Calendrier

mars 2016
L Ma Me J V S D
« fév   avr »
 123456
78910111213
14151617181920
21222324252627
28293031  

Avis

Les statistiques de ce blog sont bloquées depuis le 21 janvier 2015. Plus aucun compteur n'est incrémenté, ceux des visites du jour restent à zéro, les mises à jour ne se font plus.

Avis du 24 janvier 2015

Mes statistiques "avancées" sont de retour et font apparaître un record de visites le 21 janvier 2015 - record très modeste, mais néanmoins record pour ce blog nouveau-né. En revanche, les statistiques "basiques" sont toujours bloquées. Tout cela m'évoque bien évidemment les petites manies de Cyprien Luraghi qui n'a jamais pu supporter de voir s'envoler le nombre de mes lecteurs, qu'il surveille comme le lait sur le feu depuis la création de mon premier blog, sur Le Post, début septembre 2009.

Avis du 26 janvier 2015

Mes statistiques "basiques" sont de retour. Tout se passe normalement. Le Chinois de Thaïlande est inactif sur ce blog.

Avis du 31 janvier 2015

Mes statistiques "basiques" sont de nouveau bloquées depuis le 29 janvier.

Avis du 1er février 2015

Retour de mes statistiques "basiques".

Avis du 3 février 2015

Statistiques "basiques" de nouveau bloquées depuis le 1er février.

Avis du 6 février 2015

Mes statistiques "basiques" sont de retour. Tout fonctionne.

Avis du 11 février 2015

Mes statistiques "basiques" sont de nouveau bloquées depuis le 8 février.

Avis du 26 février 2015

Statistiques "basiques" enfin débloquées !

Avis du 27 février 2015

Statistiques "basiques" de nouveau bloquées depuis le 26 février. Ce petit jeu pourrait-il cesser ? On n'en voit pas l'intérêt... Complément de 22 h: merci de m'avoir rendu ces statistiques !

Avis du 4 mars 2015

Statistiques "basiques" de nouveau bloquées depuis le 1er mars. Merci de les débloquer et ne plus les bloquer ou les oublier en cet état à l'avenir.

Avis du 7 mars 2015

Statistiques "basiques" bien débloquées. Merci.

Avis du 25 mars 2015

Statistiques "basiques" bloquées depuis le 14 mars.

Avis du 2 avril 2015

Mes statistiques "basiques" sont de retour.

Avis du 26 avril 2015

Les statistiques "basiques" de ce blog sont encore bloquées, depuis le 10 avril 2015.

Avis du 28 avril 2015

Statistiques de retour. Merci.

Avis du 7 mai 2015

Je n'ai de nouveau plus de statistiques "basiques" depuis le 2 mai. Comme pour Petitcoucou, les statistiques "avancées" ont également disparu depuis deux jours.

Avis du 10 mai 2015

Statistiques "basiques" débloquées. Merci. Me manquent encore les statistiques "avancées".

Avis du 14 mai 2015

Toutes mes statistiques sont de retour depuis hier. Merci.

Avis du 3 octobre 2015

Les compteurs de mes statistiques avancées sont tous à zéro depuis le 1er octobre. Merci de me les rendre.

Avis du 5 octobre 2015

Statistiques "avancées" de retour ce soir. Merci.

Visiteurs en ligne

Il y a 4 visiteurs en ligne

Nombre total de visites

Messagerie

Vous devez être connecté à votre compte pour me contacter


#PatinoireHabbo |
Linounaty |
Cybersecuriter |
Unblog.fr | Créer un blog | Annuaire | Signaler un abus | Peoplenews
| Lebilletdeleticia
| Spcialstarspcialscoopsurtou...