Vous avez sûrement entendu parler du logiciel « ransomware » Locky, un virus qui crypte une partie du contenu des ordinateurs qu’il infecte pour ensuite demander une rançon en échange de la restitution des fichiers rendus inutilisables. Celui-ci se propage actuellement grâce à des mails trompeurs.. sous forme d’un ZIP contenant une pièce jointe en javascript..
Alors comment se protéger de Locky?
Déjà – et c’est une évidence – il n’est pas de trop d’avoir un antivirus à jour et pourquoi pas qui fait du filtrage d’URLs. Même si malheureusement ils ne sont pas
Pour voir à quel point les antivirus sont efficaces, vous pouvez regarder sur Virustotal qui détecte que le fichier ZIP, qu’on reçoit en pièce jointe des mails sont efficaces.
21 antivirus sur 55 semblent détecter le souci directement au niveau du ZIP d’après VirusTotal.
Quand on soumet le fichier Javascript, 13 antivirus sur 55 font leur boulot correctement. Si la curiosité vous pique, vous pouvez voir le contenu du Javascript ici. Ne l’exécutez pas… Sa version décodée est ici.
Dans la version que j’avais du virus, le script téléchargeait le vilain fichier exécutable sur l’url myphamthanhtam.com/system/logs/87yhb54cdfy.exe. Seuls 2 antivirus semblent reporter cette adresse comme dangereuse d’après VirusTotal.
Je peux donc au passage vous conseillez de soumettre sur VirusTotal les fichiers qui vous inspirent le doute.
Additionnellement et conseil de bon sens qu’on ne devrait plus avoir à donner : n’ouvrez pas les pièces jointes et mails de gens qui vous sont inconnus, dont vous n’attendez rien.. etc.
Comme sous Windows, le virus s’installe en exploitant le javascript vous pouvez aussi désactiver Windows Script Host avec le petit fichier .reg téléchargeable ici. Il faut le dézipper et l’exécuter. Particulièrement recommandé pour les gens exploitant des serveurs Citrix / TSE mais aussi pour mieux protéger vos PCs d’une exécution accidentelle.