Risque(s)
Installation d'un logiciel malveillant de type Zepto/Odin.
Systèmes affectés
Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.
Résumé
Marqueurs de téléchargement de charge mis à jour le 27/10/2016.
Mise à jour du 27/10/2016
Le CERT-FR constate une nouvelle campagne de courriels malveillants contenant des pièces jointes au format ZIP. L'archive contient un fichier de type JSE (Javascript Encode) ou WSF (Windows Script File) visant à télécharger une variante de Locky. Cette variante chiffre les fichiers de la machine et utilise l'extension .shit.
Mise à jour du 24/10/2016
Le CERTFR constate une nouvelle campagne de mails contenant des pièces jointes .hta malveillantes en cours. Ces pièces jointes correspondent à des fichiers html contenant du code Javascript téléchargeant le rançongiciel.Mise à jour du 30/09/2016
Le CERTFR constate une nouvelle vague de mails contenant des pièces jointes malveillantes en cours. Ces pièces jointes sont des documents office contenant une macro VBA téléchargeant le rançongiciel Zepto. L'extension utilisée par le rançongiciel a changée depuis la dernière vague pour devenir .odin. La liste des urls de téléchargement de charge est mise à jour.Depuis le début septembre 2016, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel Zepto.
Un rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l'utilisateur. La victime est ensuite invitée à verser de l'argent afin que l'attaquant déchiffre les fichiers ciblés.
Dans le cadre de cette campagne, et d'après les échantillons que le CERT-FR a observés, la diffusion de Zepto s'effectue par l'intermédiaire d'un pourriel contenant une archive. Cette archive contient un script Windows (extension .wsf) executant du Javascript. Le Javascript va ensuite contacter un domaine pour récupérer le Rançongiciel Zepto.
À l'aide les échantillons remontés, le CERT-FR a constaté que les URLs de téléchargement du binaire Zepto sont les suivantes :
Téléchargement de charge au 27/10/2016
URI de distribution de charge observée:
/t67bg /t76f3g
Domaines distributeur de charge (point d'eau, site légitime compromis):
pkastrologer.com_BAD_ redsrev.com_BAD_ lancasternewcity.com.ph_BAD_ samspizzapasta.com_BAD_
Domaine distributeur de charge:
duplespry.net_BAD_ arzunyolk.com _BAD_
Téléchargement de charge au 24/10/2016
URI obbservée:/076wc
Domaines observés:
3ainstrument.com._BAD_ abulhoul.ae._BAD_ bagnet.ir._BAD_ beyondhorizon.net._BAD_ castoncorporateadvisory.in._BAD_ checkimage.comuf.com._BAD_ cignitech.com._BAD_ cygnatech.com._BAD_ cynosurejobs.net._BAD_ dolphinom.com._BAD_ grupoecointerpreis.com._BAD_ hotel.comxa.com._BAD_ icclicks.com._BAD_ jhandiecohut.com._BAD_ ledenergythai.com._BAD_ naacllc.com._BAD_ nanrangy.net._BAD_ olpharm.com._BAD_ punjabipollywood.com._BAD_ sowkinah.com._BAD_ stock.comuf.com._BAD_ thaitooling.net._BAD_ wamasoftware.com._BAD_ wkreation.com._BAD_ www.jhandiecohut.com._BAD_ www.pspgemencheh.edu.my._BAD_ www.pspmrsmtumpat.com._BAD_ www.rawahyl.com._BAD_
Téléchargement de charge au 12/10/2016
URI observée:/d5436gh
Domaines observés :
eaglemouth.org_BAD_ dabihfluky.com_BAD_
Téléchargement de charge au 03/10/2016
URIs observées :
\jhg45s
Domaines observés :
acaciainvest.ro_BAD_ alraysa.com_BAD_ anthonycarducci.lawyerpublicity.com_BAD_ antiquescollectablesandjuststuff.com_BAD_ atronis.com_BAD_ bluewaterappco.com_BAD_ boservice.info_BAD_ catlong.com_BAD_ cedrussauna.com_BAD_ craftsreviews.com_BAD_ crossroadspd.com_BAD_ denvertracy.com_BAD_ dickenshandchimes.com_BAD_ dotcom-enterprises.com_BAD_ eidshow.com_BAD_ far-infraredsaunas.com_BAD_ foe-2.com_BAD_ gcandcbuilderssite.aaomg.com_BAD_ golfnauvoo.com_BAD_ hostmyimage.biz_BAD_ icdsarch.com_BAD_ ifsaiumumi.com_BAD_ inmopromo.com_BAD_ lesscellantshautegamme.ca_BAD_ maxleather.aaomg.com_BAD_ mmm2.aaomg.com_BAD_ monkeysdragon.net_BAD_ msurf.net_BAD_ new2.aaomg.com_BAD_ nonprofitbenefit.com_BAD_ nutrahacks.com_BAD_ orhangazitur.com_BAD_ parkerneem.com_BAD_ real-corp.info_BAD_ saunacushions.com_BAD_ slicktalk.net_BAD_ test.cedrussauna.net_BAD_ tsukasagiku.com_BAD_ villadiana.lv_BAD_ webhost911.com_BAD_
Téléchargement de charge au 30/09/2016
URIs observées :\021ygs7 \bdb37 \g76ub76
Domaines observés :
0735home.com_BAD_ 1maximus.ru_BAD_ 368lx.com_BAD_ 81millstreet.nl_BAD_ alliswelltour.com_BAD_ americanfancies.com_BAD_ amerikanservisi.com_BAD_ ampconnect.com_BAD_ anhsaodem.info_BAD_ aquatixbottle.com_BAD_ arbeit-von-zuhause.com_BAD_ askmeproperties.com_BAD_ atstory.com_BAD_ badminton2008.com_BAD_ bandbcreuse.com_BAD_ bdfxb.com_BAD_ beineinu.org_BAD_ birthstory.com_BAD_ brioconseils.com_BAD_ cafe-bg.com_BAD_ chchqq.com_BAD_ cmcomunicacion.es_BAD_ dedivan.ru_BAD_ delphinph.com_BAD_ demo.website.pl_BAD_ dfl210.ru_BAD_ ecoledesalsa.com_BAD_ econopaginas.com_BAD_ gadget24.ro_BAD_ game6media.com_BAD_ globalremoteservices.com_BAD_ gomelnaushnik.com_BAD_ hollywoodjesus.com_BAD_ ingpors.sk_BAD_ innogenap.com_BAD_ juyinggroup.com_BAD_ kashira.potolki.bz_BAD_ kelownatownhomes.com_BAD_ kolonker.com_BAD_ mahboob-e-rehmani.com_BAD_ nokianshop.com_BAD_ opmsk.ru_BAD_ parroquiansg.org_BAD_ pecschool.com_BAD_ purebanquet.com_BAD_ rikuzentakata-mpf.org_BAD_ rutlandhall.com_BAD_ slaterarts.com_BAD_ smokintech.com_BAD_ sonajp.com_BAD_ sotorentals.com_BAD_ studiorif.ru_BAD_ techsilicon.com_BAD_ teothemes.com_BAD_ travelinsider.com.au_BAD_ travicoperu.com_BAD_ undiaem.com_BAD_ unionathletica.com_BAD_ veganvet.net_BAD_ victorcasino.com_BAD_ w3hostingserver.com_BAD_ werix.sk_BAD_ www.sikharaprojects.com_BAD_ zdiaran.sk_BAD_
Téléchargement de charge au 07/09/2016
around4percent.web.fc2.com_BAD_/j8fn3rg3 bostoncittyregenerww.com_BAD_/js/j8fn3rg3 kreativmanagement.homepage.t-online.de_BAD_/j8fn3rg3 marcotormento.de_BAD_/j8fn3rg3 maxshoppppsr.biz_BAD_/js/vf3gt4b4 michik.web.fc2.com_BAD_/j8fn3rg3 news.oboyle.ro_BAD_/myeyuum sp-moto.ru_BAD_/j8fn3rg3 unimet.tmhandel.com_BAD_/j8fn3rg3 www.hestia-bewindvoering.nl_BAD_/j8fn3rg3 www.montegelato.it_BAD_/j8fn3rg3 www.termoalbiate.com_BAD_/uwmakrm www.vilastefania.go.ro_BAD_/j8fn3rg3
Serveurs de Commande et de Contrôle au 07/09/2016 Selon nos analyses, les domaines sont générés aléatoirement. Aucun domaine pertinent n'est pour l'instant disponible.
Les IPs suivantes sont susceptibles d'être contactées comme CnC et peuvent être ajoutées en liste noire :
212.109.192.235 149.154.152.108
L'uri suivante semble stable. Elle peut servir de marqueur lors d'une investigation mais ne doit pas être mise en liste noire au risque de générer beaucoup de faux positifs.
/data/info.php
Solution
Mesures préventives
Le CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l'ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d'apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d'exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle.Le CERT-FR recommande de configurer sur les postes de travail les restrictions logicielles pour empêcher l'exécution de code à partir d'une liste noire de répertoires :
- Si la solution utilisée est AppLocker, les règles de blocage suivantes doivent être définies :
- OSDRIVE\Users\*\AppData\
- OSDRIVE\Windows\Temp\
- Si les restrictions logicielles (SRP) sont utilisées, les règles de blocage suivantes doivent être définies :
- UserProfile\AppData
- SystemRoot\Temp
Il est important de vérifier que le service "Application Identity" (AppIDSvc) est paramétré en démarrage automatique sur l'ensemble des postes pour que les restrictions logicielles soient opérantes (ce mode de démarrage peut être paramétré à travers une politique de groupe sur le domaine Windows). Si des dysfonctionnements sont rencontrés suite au déploiement de ces règles de blocage, il est nécessaire d'identifier les applications légitimes situées dans ces répertoires, et de définir des règles en liste blanche afin d'autoriser leur exécution.
Le CERT-FR recommande également de mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin de publier des signatures en constante évolution. Par ailleurs, il convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier.
Enfin, le CERT-FR recommande d'effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) puis de vérifier qu'elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l'entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production.
Mesures réactives
Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés. Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service informatique au plus tôt. Le temps de revenir à une situation normale, le CERT-FR recommande également de positionner les permissions des dossiers partagés en LECTURE SEULE afin d'empêcher la destruction des fichiers sur les partages. Les personnels pourront continuer de travailler localement et mettre à jour ultérieurement le partage. Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.Le CERT-FR recommande également de bloquer sur le serveur mandataire l'accès aux domaines ou URLs identifiés dans le message malveillant. L'objectif est de prévenir toute nouvelle compromission sur le même site. En complément, le CERT-FR recommande de rechercher et supprimer les messages malveillants similaires dans les boîtes de messagerie des utilisateurs. Par ailleurs, le CERT-FR recommande la réinstallation complète du poste et la restauration d'une sauvegarde réputée saine des données de l'utilisateur. De plus, dans le cadre de l'utilisation de profils itinérants, il convient de supprimer la copie serveur du profil afin de prévenir la propagation des codes malveillants par ce biais.
Enfin, les fichiers chiffrés peuvent être conservés par la victime au cas où dans le futur, un moyen de recouvrement des données originales serait découvert.
Cette alerte sera maintenue tant que le volume de message électronique constaté sera considéré significatif par le CERT-FR.