Les données informatiques peuvent être perdues avec un seul fichier MS Word

L’année 2016 a été marquée par un retour en force de nombreux types de ransomwares, et les attaques sont encore plus dangereuses lorsque les crypto-ransomwares (qui chiffrent les données des utilisateurs pour demander une rançon) représentent la majorité des infections ces derniers temps.

Récemment, les experts en cybersécurité ont découvert un nouveau type de rançongiciel appelé Locky, qui utilise l'algorithme de chiffrement AES pour chiffrer les données et les fichiers partagés sur le réseau. Le mode d'infection et de propagation de ce rançongiciel sur Internet est étonnamment simple : il cible Microsoft Word.

Votre ordinateur sera chiffré lorsque vous activerez les macros pour afficher le contenu du fichier Word.

Plus précisément, Locky se dissimule sous un fichier Word contenant une macro malveillante et se propage par e-mails imitant des factures, des contrats de vente ou des contenus suspects. Lorsque le destinataire active la macro pour afficher le contenu de ce fichier Word, Locky est téléchargé discrètement depuis le serveur du pirate et crypte immédiatement tous les fichiers de l'ordinateur compromis.

Ce rançongiciel analyse l'intégralité du disque dur et même les partages réseau pour identifier les fichiers chiffrés. Cependant, il ignore les fichiers/dossiers système tels que tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot et Windows afin de garantir le démarrage normal de Windows.

Après avoir été chiffrés par l'algorithme AES, tous les fichiers seront renommés en [identifiant unique][identifiant].locky. Plus sophistiqué, Locky supprimera toutes les informations de restauration du système, empêchant ainsi les utilisateurs de restaurer leurs données.

Finalement, le logiciel malveillant remplace le fond d'écran par une image avertissant les victimes de ce qui est arrivé à leurs données, accompagnée d'un lien vers une page de déchiffrement et exigeant une rançon d'environ 0,5 bitcoin (plus de 200 dollars) pour la restauration de leurs fichiers. Deux options s'offrent à elles : réinstaller l'intégralité du système, accepter la perte de données ou payer le pirate au prix fort.

Payer une rançon (bitcoin) ou accepter de perdre toutes les données ?

En réalité, Locky hérite des mêmes techniques que d'autres rançongiciels découverts précédemment, comme la possibilité de modifier complètement le nom des fichiers chiffrés afin de rendre la récupération des données difficile, à l'instar de Cryptolocker. Cependant, il est plus dangereux, car il peut chiffrer les données même sur un réseau partagé, ce qui représente une menace pour les systèmes informatiques de grande taille.

L'entreprise de sécurité Kaspersky a dû admettre que, si des victimes se trouvaient dans cette situation, elles ne pouvaient rien faire d'autre que payer une rançon aux pirates - comme l'a fait hier l'hôpital presbytérien d'Hollywood : payer 17 000 dollars en bitcoins en échange de la paix.

Ce que fait Locky sur l'ordinateur de l'utilisateur.

Actuellement, ce ransomware se propage encore à un rythme de 4 000 nouvelles infections par heure, soit environ 100 000 par jour en Allemagne, aux Pays-Bas, aux États-Unis, en Croatie, au Mexique, en Finlande... Il est étonnant qu'en 2016, un fichier Word puisse crypter toutes les données d'un utilisateur !

Selon Tri Thuc Tre