Locky : ça peut aussi vous arriver

Locky

Après que mon (gros) cabinet comptable, une cliente, deux connaissances, et des milliers de gens ont subi les ravages de Locky, je me dis qu'il serait bon d'aborder ce sujet ici. Locky est un ransomware. Pour simplifier, c'est un virus qui se propage par mail et chiffre le contenu de votre disque dur si vous ouvrez inconsidérément une pièce jointe. Pour le déchiffrer et récupérer vos données, il vous faudra payer.

Conseils du newbie.

Je précise que je ne suis pas un spécialiste de la sécurité informatique, et c'est sans doute un avantage, car les conseils ci-dessous seront probablement applicables par la majorité d'entre vous.
Si vous travaillez dans une entreprise avec un service informatique, renseignez-vous auprès de celui-ci si bizarrement il n'a pas encore communiqué sur ce sujet auprès de vous.

Pour plus de détails officiels : voir ici

Par où arrive Locky ?

Locky arrive sur votre poste informatique dans la pièce jointe d'un mail (.doc en général car Locky s'exécute dans les macros de Word). Tant que cette pièce jointe n'est pas ouverte, vous ne courrez aucun risque. Malheureusement, les pirates savent être convaincants, ils vous laissent croire que ce mail vient de l'un de vos correspondants habituels.

Dernièrement, de nombreux faux mails de Free contenant soi-disant votre facture ont circulé, mais mon conseil est d'être vigilant sur TOUTES les pièces jointes. Une méthode toute bête, lorsque Orange ou Free m'adressent un mail avec un lien vers ma facture, je supprime ce mail et je vais directement chercher ma facture sur le site de mon fournisseur d'accès.

Vous verrez aussi passer de nombreux mails avec une soi-disant facture de l'un de vos fournisseurs. Soyez vigilant, connaissez-vous ce fournisseur ? Quelque chose justifie-t-il qu'il vous adresse une facture ?

Ces deux exemples ne sont pas limitatifs. Faites simplement attention à tout avant d'ouvrir une pièce jointe surtout si le texte du mail ne semble pas personnalisé en regard des échanges en cours avec ce correspondant.

Astuce : ouvrez le mail suspicieux avec un iPhone, pour le moment c'est sans risque.

Comment se prémunir de Locky et ses amis.

En humain averti, vous faites maintenant attention aux mails que vous recevez, voici toutefois quelques conseils supplémentaires.

Évitez la catastrophe avec des sauvegardes

Si Locky chiffre vos données, il vous sera toujours possible de vous en sortir si vous avez sauvegardé ces données sur un autre disque. Attention, le disque de sauvegarde ne doit pas être branché en réseau en permanence sinon il serait lui aussi chiffré.

Un exemple de solution : Achetez un disque dur externe et tous les soirs sauvegardez le contenu de votre ordinateur (pensez à vos profils mails aussi). Personnellement j'utilise Syncback, voici un petit tuto pour le paramétrer.

Bien sûr, si locky vous infecte, vous devrez formater votre disque dur et réinstaller Windows et tous vos logiciels, mais au moins vos données seront sauves et prêtes à être rapatriées sur votre ordinateur.

Au passage, ce procédé vous permettra aussi de récupérer vos données si quelqu'un vole votre ordinateur ou si le disque dur crash...

Maintenez vos logiciels à jour

Kaspersky a récemment communiqué sur le fait que Locky pouvait être transmis par des pages web piégées en profitant des failles des navigateurs ou plugins. Assurez-vous donc que tout est à jour en terme de sécurité sur votre ordinateur (Windows, vos logiciels type Office etc., vos navigateurs, vos plugins (Flash & co) etc.)

Désactivez le lancement automatique des macros sur Office

Locky a (au moins pour le moment) besoin de l'activation des Macros sur Office pour se lancer et infecter votre ordinateur. Désactivez donc le lancement automatique des macros. Vous les réactiverez uniquement en cas de besoin.

Installez un vrai antivirus

Un antivirus ne vous protégera pas directement de Locky car ce dernier mute fréquemment pour tromper l’ennemi et ses signatures sont régulièrement modifiées. En revanche, une bonne suite antivirus qui intègre un antispam vous mettra sans doute à la poubelle 90% des mails contenant Locky. Reste les 10% restant, il faudra donc toujours rester sur vos gardes. Dites-vous bien qu'un antivirus ne remplace jamais le bon sens.

Comment se débarrasser de Locky ?

Désolé, à ce jour je ne connais pas de solutions fiables pour déchiffrer les données. A priori, je ne fais pas confiance à ce que l'on trouve sur Google dans les solutions proposées.

En résumé

Locky est une vraie vérole ultra efficace conçue par de vrais pros. Le meilleur moyen de s'en protéger c'est vous, humain, qui avec votre cerveau êtes capable de trouver qu'un mail paraît suspicieux et sa pièce jointe bien plus encore.

Appliquez donc les méthodes présentées ci-dessus et vous augmenterez vos chances d'échapper au pire.

Plus d'infos :

(je recevrai un mail quand un article est publié (no spam)

11 thoughts on “Locky : ça peut aussi vous arriver

  1. Mitsu

    Ce virus est vraiment hardcore, c'est bien d'en parler. Je pinaille mais tu devrais remplacer Crypter par Chiffrer qui est plus adéquat !

    PS : Est-ce que ton cabinet comptable est sur Massy ?

  2. Véronique Duong

    Très bon article et merci beaucoup pour la mise en garde ! En ce moment, je reçois aussi beaucoup de mails bizarres, et ils vont directement à la poubelle. Souvent, je reçois des mails avec naver, orange, free, etc. à la fin, et qui passent pour la banque, Gmail, etc. Faites très attention, et bon courage à tous !

  3. Mitsu

    Ok je te demandais parce que je connaiq un autre cabinet qui est dans la merde a cause de Locky. C'est vraiment tendu quand ce sont des entreprises qui sont ciblés...

  4. Sylvain Auteur de l’article

    @ Mitsu
    Sans doute car elles sont plus promptes à payer pour récupérer leurs données.

  5. Kilroy

    Quelques remarques :

    Les entreprises sont clairement ciblées : tous les messages suspects que j'ai reçus contenaient une facture.

    D'après l'article de Korben, il n'est même pas certain que payer puisse permettre de récupérer les données. La bonne pratique est de ne pas payer pour ne pas pérenniser cette pratique.

    Il est toujours intéressant d'avoir un antivirus (un "vrai", payant). Eset Nod m'a détecté et éliminé un message infecté par une "variante de MSIL/Kryptik.FBG. Sur un autre PC, j'ai vu passer une alerte de Kaspersky suite à un scan de mes emails. Donc ça fonctionne.

    Pour les backups, j'utilise aussi Syncback, mais je les fais sur un NAS. Ce dernier ne servant qu'aux sauvegardes, je l'ai paramétré pour qu'il s'allume aux heures auxquelles Syncback fait ses sauvegardes. Du coup, cela limite les risques d'infection.

    Autre recommandation : ne jamais utiliser faire figurer d'emails en clair sur des sites web. Il y a des harvesters qui tournent et qui revendent probablement des bases de données d'emails à toutes sortes de malfaisants (spammeurs, mais pas seulement) A minima, encoder les emails avec : http://wbwip.com/wbw/emailencoder.html

  6. Mireille LIMOUSI-IRABOR

    Bonjour, non spécialiste de la sécurité informatique, mais bien informé et très clair.
    Effectivement, il faut espérer que tous les prestataires informatiques ont averti leur clients et leurs contacts (ce que nous avons fait). Oui, les sauvegardes sur serveur et en salle blanche (nous avons opté pour un Cloud privé avec des sauvegardes automatiques quotidiennes) sont une solution de secours et évitent de payer ces pirates, à condition de vite isoler du réseau la ou les machines éventuellement infecté/es, en débranchant le câble réseau et en coupant le WiFi,...et à condition que les sauvegardes soient bien effectuées et régulièrement. Les publications de l'ANSSI, notamment leur guide des bonnes pratiques de l'informatique, sont un bon support d'information.
    En tout cas, j'aimerais bien avoir le contact de votre expert-comptable (et de celui de votre interlocuteur) pour lui proposer une solution 😉 et lui parler de prévention.
    Plus sérieusement, si vous me le permettez, je mettrai votre article en lien dans l'un des miens. Bien cordialement,

  7. maxime

    Bonjour Sylvain,
    Un informaticien m'a donné le conseil suivant : " utilise Gmail comme gestionnaire de mail, il te permet de filtrer les spams et autres phishing, de te protéger sans frais des virus. C'est la meilleure protection qui puisse exister en terme d’antivirus, de filtre anti-spam et anti-phishing sur les mails.
    Paramètre ton compte Gmail, pour qu’il récupère les courriers de tes autres boites mail"
    Que penses-tu de cette méthode?
    Est-ce vraiment efficace?
    C'est aussi, sans doute, gênant de se tourner uniquement vers google.
    Merci d'avance pour ta réponse
    Maxime

  8. Gérald Bouillaud

    J'en ai entendu parler de ce Locky mais personnellement je n'en ai pas encore été victime, heureusement, mais des amis l'ont été. C'est une véritable catastrophe et les pirates ne cessent de trouver des astuces pour vous pourrir la vie. C'est le genre de chose qui peut mettre à terre la notoriété d'un prestataire si on a confié la gestion du SI en externe et qu'on en est quand même victime, si ce genre de virus réussi à passer.

Partagez sur :

Les commentaires sont fermés.