Fermer
Sections
Avast Blog Étude des menaces Le téléchargeur JavaScript de Locky

Le téléchargeur JavaScript de Locky

Jan Širmer 18 mars 2016

Locky est une considérable menace de sécurité qui est d'ores et déjà largement répandue.

Le ransomware Locky est une considérable menace de sécurité qui est d'ores et déjà largement répandue.

Il semble que les auteurs de Locky utilisent dorénavant un certain type de campagne pour propager le ransomware. Nous avions publié un article consacré au Locky Ransomware, le ransomware très probablement propagé par le tristement célèbre botnet Dridex.  Dans notre dernier article, nous décrivions les trois campagnes utilisées par les auteurs de Locky pour propager leur programme malveillant.  Maintenant les auteurs de Locky utilisent principalement la campagne dans laquelle un javascript est incorporé dans un fichier zip expédié sous forme d'e-mails de phishing.

Locky_campaign_flow.png

Nous avons analysé plus avant la campagne version 3 mentionnée dans notre dernier article et découvert que chaque e-mail contient un obscurcissement unique du javascript, afin de contourner les filtres antispam de la messagerie cliente.

Locky_script.png

Le script ci-dessus télécharge et exécute le cryptolocker.

Locky_javascript_download.png

Le JavaScript ouvre un site Web, comme celui mis en surbrillance ci-dessus, puis le fichier Locky est téléchargé et exécuté.

Du 9 au 14 mars 2016, 163 746 de nos utilisateurs ont réceptionné un total de 208 000 e-mails contenant le téléchargeur Locky.

Le graphique qui suit montre une chute notable pendant le dernier weekend, mais nous nous attendons à une nouvelle augmentation. Il montre également que près d'un quart des destinataires ont reçu plus d'un e-mail de phishing.

Locky_chart.png

L'axe Y montre le nombre d'utilisateurs, et l'axe X la date au format AAMMJJ.

De nouveaux domaines hébergeant le ransomware exécutable du Locky sont créés chaque jour et certains de ces domaines sont aussi utilisés par d'autres ransomwares. Par exemple, les sous-domaines de spannflow sont utilisés comme sites de paiement pour TeslaCrypt, ce qui nous amène à penser que TeslaCrypt et Locky sont en étroite relation.

Locky_domains.png

Les attaques de ransomware mettent non seulement les données des victimes en danger, mais elles peuvent également leur coûter beaucoup d'argent et de stress. Une demande de rançon de Locky commence à 0,5 BitCoin, ce qui équivaut à 200 USD environ. Nous estimons que près de 10 % des gens confrontés à un ransomware paient la rançon pour obtenir une clé de déchiffrement.

Locky_email.png

Exemple d'e-mail de phishing Locky

Locky_map.png

Carte illustrant les régions ciblées par Locky

Nous ne pouvons que présumer que les pays les plus ciblés sont le Japon, la France et les États-Unis, car ce sont des pays riches.

Comment prévenir une infection par un ransomware

  • Assurez-vous que votre système est protégé par un antivirus.
  • Comme toujours, n'ouvrez aucune pièce jointe douteuse (p. ex. fichiers .doc, .xls et .zip).
  • Gardez des copies de sauvegarde récentes de vos données importantes dans un endroit sûr, en ligne ou hors ligne.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour connaître les dernières actualités, pensez à nous suivre sur FacebookTwitter et Google+.

Articles liés

Les logiciels malveillants se répandent chez les adolescents

Les constructeurs de logiciels malveillants Lunar ne sont pas uniques : Il existe de nombreuses variétés de "grabber builders" disponibles en ligne.

30 juin 2022 Temps estimé min

Peut-on tous devenir hacker pour l'Ukraine ?

Des "outils simples" permettent à des personnes ordinaires comme vous et moi de participer à des attaques DDoS en faveur de l'Ukraine.

2 mars 2022 Temps estimé min

Qu’est-ce que le spyware Pegasus et votre téléphone est-il infecté ?

Votre iPhone ou Android est-il infecté par Pegasus ? Découvrez comment le détecter et le supprimer de votre appareil.

30 sept. 2022 Temps estimé 5 min

Les plus populaires

Comment éviter les arnaques aux billets de concert de Taylor Swift

16 févr. 2023

L’utilisation des données personnelles par ChatGPT est-elle légale ?

1 févr. 2023

Pourquoi les escrocs sont plus susceptibles de se faire passer pour un ami

20 oct. 2022

La biométrie est-elle bénéfique ou nocive ?

12 oct. 2022

Les 24-44 ans sont les plus susceptibles d’être arnaqués

3 oct. 2022

1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Politique de Confidentialité

--> -->