Les rançongiciels ne sont pas un nouveau type d’attaque, mais les auteurs de logiciels malveillants en ont créé une nouvelle forme qui a fait des ravages sur les données des utilisateurs. Le logiciel malveillant se propage par courriel à l’aide d’en-têtes falsifiés et d’un document joint contenant une macro malveillante qui laisse tomber un cheval de Troie, qui télécharge ensuite un rançongiciel malveillant.
Le virus est si nouveau qu’il n’a même pas encore de nom. On l’appelle le « virus Microsoft Word Macro Malware ». Ce qui est également troublant, c’est qu’il a contourné les filtres de courriel. Les virus zero-day qui n’ont pas été vus dans la nature peuvent souvent contourner toutes sortes de logiciels de sécurité, y compris les antivirus, les antilogiciels malveillants et les filtres de courriel.
Par défaut, Microsoft Word désactive les macros, car il s’agit d’un moyen courant de propager des virus, des chevaux de Troie et des vers. Cependant, l’utilisateur peut être invité à activer les macros lorsqu’il en a besoin. Lorsque le document Word joint est ouvert, l’utilisateur invite l’utilisateur à activer les macros pour voir le contenu du document. Tant que la macro est bloquée, l’utilisateur est en sécurité, mais la plupart des utilisateurs activent les macros en pensant que le contenu derrière elles est nécessaire.
Une fois la macro activée, le cheval de Troie est déposé sur l’ordinateur, ce qui permet ensuite le téléchargement du rançongiciel. Le rançongiciel crypte divers fichiers et alerte l’utilisateur. L’utilisateur est informé qu’il doit payer la rançon ou il ne recevra pas la clé pour déverrouiller les fichiers.
Cette nouvelle fait suite à une récente attaque contre le Hollywood Presbyterian Medical Center, qui a également été victime d’un rançongiciel. L’hôpital a récemment été forcé d’utiliser un stylo et du papier pour les transactions alors que le FBI et les forces de l’ordre locales faisaient des recherches sur l’attaque. La rumeur veut que les attaquants demandent 9 000 bitcoins (environ 3,6 millions de dollars) en échange de la clé. Le réseau de l’hôpital et ses millions de dossiers risquent d’être complètement inutilisables.
Le logiciel malveillant téléchargé s’appelle « Locky ». Les chercheurs ont indiqué que cette attaque par rançongiciel a un point faible dans sa méthode de chiffrement et d’infection. Il utilise des commandes en mémoire pour effectuer un échange de clés, ce qui pourrait être la clé pour arrêter le logiciel malveillant et protéger les ordinateurs des utilisateurs. Cependant, aucun logiciel antimaliciel n’a encore été créé pour protéger les systèmes.
La meilleure approche pour ce type d’attaque est de filtrer les courriels comme prévention des rançongiciels. Le premier indicateur est que l’adresse « de » est usurpée, ce qui devrait être détecté par les systèmes de filtrage des courriels. Le document joint doit également être analysé à la recherche de logiciels malveillants et bloqué lorsqu’il est détecté. Comme le courriel contient une pièce jointe .doc, il s’agit d’un format auquel la plupart des utilisateurs font confiance et qu’ils ouvrent immédiatement sans hésitation.
Si vous pensez que votre réseau a été infecté, il est suggéré de verrouiller le compte réseau de l’utilisateur et de bloquer l’accès au réseau pour éviter la propagation dans toute l’organisation.
