Des évolutions sur le rançongiciel Locky

Le chercheur en sécurité Derek Knight a récemment découvert une variante du rançongiciel Locky qui change l’extension des fichiers chiffrés par « .ykcol ».

Cette variante se propage actuellement via des emails ayant pour objet « Status of Invoice » et contenant un fichier 7zip ou 7s. Cette pièce jointe contient un fichier VBS qui, une fois exécuté, va télécharger Locky depuis un site distant et l’exécuter. Le format de la pièce jointe semble légitime et ce choix devrait permettre de contourner les filtres spam les plus sophistiqués des boîtes mails.

Une fois le fichier exécuté, il va scanner les fichiers de l’ordinateur afin de les chiffrer. Après avoir chiffré une grande partie des fichiers, une demande de rançon va s’afficher à l’écran. Cette dernière précise la procédure à suivre afin de payer et de récupérer la clé permettant le déchiffrement des données.

Payer la rançon n’assure certainement pas la récupération des données. La meilleure alternative pour se prémunir de telles attaques est de réaliser régulièrement des sauvegardes des données des postes et de les tester.

Locky fait partie des précurseurs en termes de rançongiciels. Si cela fait quelques mois qu’il est un peu plus discret, c’est que ses développeurs l’améliorent sans cesse afin de le rendre de plus en plus dévastateur.