Initialement repéré lors des attaques de juillet et d'août de l'année dernière, le logiciel malveillant se présente comme le fameux rançongiciel Locky qui dominait la scène des menaces en 2016. Écrit en Python, le logiciel malveillant est principalement actif en Europe, et en particulier en France. Les autorités françaises ont révélé que le logiciel de demande de rançon se répend généralement par courrier électronique indésirable, en ciblant activement les entreprises et les particuliers. Une fois installée sur la machine de la victime, la menace cible environ 150 types de fichiers à chiffrer, notamment des fichiers images, vidéo, document, audio, programme, jeu, base de données et archives. Le logiciel malveillant recueille également des informations sur le système et intègre des fonctionnalités anti-sandbox.
Désormais, grâce à cet outil disponible sur la plate-forme nationale française cybermalveillance.gouv.fr, les victimes pourront déchiffrer les fichiers chiffrés gratuitement. Les extensions de fichiers chiffrés prisent en charge pour la version 1 sont .lockedfile ou .lockymap et la version 2 est .locky.
« Cet outil est le fruit de la collaboration des services du ministère de l’Intérieur, en particulier de la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) de la Direction régionale de la police judiciaire de Paris qui a pu récolter dans le cadre de ses investigations des éléments techniques en association avec des chercheurs en sécurité bénévoles. Ces éléments ont permis au Service des technologies et des systèmes d’information de la sécurité intérieure ST(SI)², rattaché à la Gendarmerie nationale, de réaliser ce programme », lit-on dans le message publié par le ministère de l'Intérieur français.
Notons que selon les statistiques de Kaspersky Lab pour le 1er trimestre 2019, PyLocky ne figure plus parmi les familles de rançongiciels les plus actives au niveau mondial. Il en va de même pour Locky, avec lequel il n’existe pas de lien, malgré la proximité des noms. À l’été 2018, PyLocky avait fait l’objet d’une alerte du CERT-FR . Il était alors distribué via des e-mails contenant un lien malveillant. Ce lien, censé permettre de récupérer une facture, télécharge en fait un exécutable contenu dans une archive zip elle-même intégrée dans une archive zip. Une fois installé, il crée un identifiant, un mot de passe et un vecteur d’initialisation aléatoire. Il récupère des informations sur la machine infectée et envoie le tout à un serveur de contrôle. Le chiffrement peut alors se mettre en marche.
En janvier de cette année, Cisco avait elle aussi déjà publié un déchiffreur pour PyLocky qui a été développé par un chercheur en sécurité du nom de Mike Bautista. Cet outil peut être trouvé sur la plate-forme No More Ransom, parmi des dizaines d’autres déchiffreurs. Talos encourage les utilisateurs à ne jamais payer la rançon demandée par l'attaquant, prétendant qu’il entraîne rarement à la récupération des fichiers cryptés. Les victimes de ce rançongiciel devraient plutôt tenter de restaurer les fichiers à partir d’une sauvegarde si leurs fichiers ne peuvent pas être déchiffrés. En effet Talos aurait observé à de nombreuses reprises que les assaillants qui demandent une rançon n’ont aucun moyen de communiquer avec les victimes pour leur fournir un déchiffreur.
Le communiqué du ministère indique cependant que le déchiffrement des fichiers ne décontamine pas pour autant la machine infectée par le rançongiciel. Toutefois, pour comprendre les attaques par rançongiciels, les mesures à prendre pour s’en prémunir et les actions à conduire pour y faire face lorsque l’on en est victime, la fiche réflexe du dispositif national d’assistance aux victimes est disponible sur son site.
Consultez ou téléchargez la documentation d’utilisation du programme de déchiffrement de PyLocky
Téléchargez le programme de déchiffrement PyLocky versions 1 et 2 et sa documentation.
Source : Ministère de l'Intérieur
Et vous ?
Que pensez-vous de l'initiative des autorités françaises ?
Avez vous déjà été victime de PyLocky ou Locky ?
Voir aussi :
Cybersécurité : la menace numérique est en augmentation de 32 % en France, 245 millions d'euros par an sont détournés sur Internet
L'armée française lance un Bug bounty pour muscler sa cyberdéfense, et appelle à la mutualisation des forces de tous les acteurs de ce secteur
« La France emploie et emploiera l'arme cyber dans ses opérations militaires », a déclaré la ministre française de la Défense
France : le gouvernement recommande aux entreprises de bloquer Tor via un serveur proxy, pour filtrer les connexions sortantes vers le réseau