Attaques de virus via email : évolution importante des virus Locky /cryptolockers, rappel de nos conseils de prudence.

25 Mai 2016 | Sécurité

Comme nous l’avons déjà évoqué dans de précédents bulletins, de très nombreuses et très importantes vagues d’attaques d’envois de virus par email sévissent actuellement sur le net.

Le désormais célèbre virus Locky (et ses variantes) a subi une modification importante :
le type de fichier contenu dans les archives zip a changé de nature :
il s’agissait uniquement de fichiers en format JS, mais l’on trouve également des fichiers au format .WSF.

L’une des particularités de ce type de virus est qu’il peut prendre l’apparence de n’importe quel type de fichier.
Par exemple il peut utiliser les icônes d’autres programmes, comme Microsoft Word, Adobe PDF, etc.

Le destinataire ne réalise donc pas sur le moment qu’il ouvre un script d’installation de virus.

Les ingénieurs d’Icodia travaillent sans relâche pour identifier et stopper ces virus au fur et à mesure que les hackers font évoluer les formes d’envoi ; cependant, nous souhaitions attirer votre attention sur cette problématique, et vous inviter à être vigilants :

Nos conseils pour éviter tout risque :

– Activez l’affichage des extensions de fichier sous Windows :

Afin de pouvoir vous assurer qu’un fichier Word que vous vous apprêtez à ouvrir en est bien un, il est utile d’afficher l’extension de vos fichiers.

1. Ouvrez votre explorateur de fichiers. Par défaut, vous constaterez que l’extension du fichier n’est pas affichée.
1

2. Allez dans Outils > Options des dossiers.
2

3. La fenêtre d’options des dossiers s’ouvre, ouvrez l’onglet Affichage et décochez l’option « Masquez les extensions des fichiers dont le type est connu.
Validez en cliquant sur « Appliquer »
3

4. Les extensions de vos fichiers s’affichent désormais, il vous est plus facile de vous assurer rapidement qu’un fichier porte l’extension adaptée à son format.
4

N’oubliez pas que l’extension .exe represente un fichier exécutable, soyez prudents.

Il faut également être prudent avec les extensions type .js, .wsf, .bat, .cmd, etc.
D’une manière générale, tout fichier ayant un logo qui ne correspond pas à son extension est un risque (exemple fichier .exe avec un logo PDF)

 

– Ne faites pas systématiquement confiance à votre antivirus :

Les infections par email fonctionnent dans des contitions de « race » (course, en anglais) :
c’est à dire que les hackers font en sorte d’envoyer un maximum d’emails infectés en un minimum de temps, avant que les antivirus puissent mettre leurs moteurs à jour.
Nouvelle forme du virus, nouvelle vague d’attaque extrêmement massive, dès que le virus est repertorié dans les bases virales, une nouvelle version du virus est propagée par le botnet.

– N’ouvrez pas de pièces jointes provenant d’une source inconnue :

Les virus peuvent être cachés dans des fichiers joints de différentes natures :
documents MS Word, MS Excel, fichiers Zip contenant des scripts de type .js, etc.

Soyez prudent, les virus sont nommés de sorte à provoquer la confusion chez le destinataire :
facture.doc, facture.zip, facture.pdf.js, devis.js, cv.rtf, ou tout autre nom qui pourrait vous inciter à ouvrir le document joint.

– Limitez le plus possible l’utilisation de l’alias collecteur sur vos services email :

La mise en place d’un alias collecteur vous permet de recevoir les messages envoyés sur des adresses email liées à votre nom de domaine mais qui n’existent pas.

Cet alias routera donc tous les destinataires aléatoires vers une boîte. Le botnet cible des listes d’utilisateurs existants, mais aussi beaucoup d’utilisateurs aléatoires (a1ecc5d@mondomaine.com, john@mondomaine.com, etc.).

Avec un alias collecteur, toutes ces tentatives peuvent arriver sur votre adresse email (c’est également valable pour les spams), et vous multipliez les risques de fausse manipulation.

– Utilisez des outils fiables et à jour :

Travaillez sur des outils fiables (Firefox par exemple pour le navigateur web) et surtout mettez à jour vos logiciels et vos systèmes d’exploitation.

Il existe des applications gratuites, comme par exemple Secunia Personal Inspector, qui vous informent de l’existance de mises à jour sur les logiciels que vous utilisez. Ce logiciel est disponible en français.
Vous pouvez le télécharger gratuitement à l’adresse :
http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector

– Créez des utilisateurs avec des droits limités sur votre ordinateur et
utilisez l’UAC (sous Windows) :

Si vous utilisez le compte administrateur de votre ordinateur, toute application est susceptible de s’exécuter, quelle qu’elle soit.

Utilisez un compte utilisateur avec des droits restreints. Cela permet de vous protéger.

Ne désactivez pas le panneau de l’UAC (User Account Control) :
L’UAC est un utilitaire (à partir de Windows 7), qui vous prévient si une application souhaite s’installer ou s’exécuter, vous demandant de confirmer d’éventuelles modifications sur votre ordinateur.
Vous êtes ainsi averti, et pouvez stopper, le cas échéant l’exécution d’un programme qui n’aurait pas lieu d’intervenir sur votre machine.

L’équipe Icodia a pris des mesures afin de vous protéger de ce risque

Nos techniciens ont créé un filtrage spécifique sur ces emails frauduleux, afin de les stopper au niveau de notre filtrage antivirus. Ces emails sont donc arrêtés et supprimés dès reception par nos serveurs.

Dans tous les cas, restez vigilants

Les techniques de piratage, les tentatives de détournement de vos informations et les « cyber-arnaques » évoluent extrêmement rapidement, les emails frauduleux circulant sur internet représententplus de 80% du traffic email.
Nous mettons tout en œuvre pour être très réactifs, mais il faut rester prudent.