[Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
o.muret
Messages : 4
Enregistré le : 05 juil. 2017 14:02
Etablissement : CH Montauban
Fonction : Responsable SI
CIL : Non
Site Internet de l'établissement : http://www.ch-montauban.fr/
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par o.muret » 18 août 2017 14:42

le même carrossier pour nous....

ralphymoto
Messages : 5
Enregistré le : 26 févr. 2016 12:27
Etablissement : CHU-POITIERS
Fonction : RSSI
CIL : Non

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par ralphymoto » 18 août 2017 14:54

Dans les mails piégés que nous recevons du type indiqué par Charles "Facture N° XXX du 18_08_2017', le dropper cherche à télécharger un fichier portant le nom suivant: 89yhFA.
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.


A UTILISER AVEC PRECAUTION ! et a blacklister...

SOYEZ VIGILANT !

Pierre

Avatar du membre
charles
Administrateur du site
Messages : 2429
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par charles » 18 août 2017 15:03

Merci pour vos retours ;)

Avatar du membre
charles
Administrateur du site
Messages : 2429
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par charles » 18 août 2017 15:41

Pour le coup c'est bien lukitus qui est distribué dans cette campagne :
Image

JMalvaux
Messages : 4
Enregistré le : 16 mars 2016 09:15
Etablissement : CH Sud Francilien
Fonction : RSSI
CIL : Non

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par JMalvaux » 21 août 2017 10:28

Bonjour,

180 mails depuis le 18/08 chez nous, bloqués par IMSVA (Trend), tous issus... du même carrossier !

Merci pour les infos :)

o.muret
Messages : 4
Enregistré le : 05 juil. 2017 14:02
Etablissement : CH Montauban
Fonction : Responsable SI
CIL : Non
Site Internet de l'établissement : http://www.ch-montauban.fr/
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par o.muret » 21 août 2017 10:39

Chez nous pic de spam Vendredi 18/08 avec 10000 mails infectés bloqués puis retour a la normale depuis.... à suivre..

Avatar du membre
charles
Administrateur du site
Messages : 2429
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par charles » 21 août 2017 13:22

Bonjour à tous,

Merci encore pour vos retours !

Il semblerait que ça soit reparti aujourd'hui, nous avons reçu en petite quantité, des messages avec du Lukitus en cadeau :


Image
Objet des messages : FACTURE No 17-31
Pièce jointe : img20170821_XXXXXXXX.7z (X représente un chiffre aléatoire)
L'archive contient un fichier javascript qui lance le téléchargement de la charge.
L'adresse expéditrice (usurpée) :
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Les messages proviennent de serveurs de différents pays.

Ça donne quoi de votre côté ?

Soyez vigilants.

Avatar du membre
charles
Administrateur du site
Messages : 2429
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par charles » 21 août 2017 13:49

Il semblerait qu'il y ait une autre campagne en cours.

Objet : photos
Pièce jointe : photos.7z
Expéditeur :

Code : Tout sélectionner

Karina5555@domaine_usurpé

Avatar du membre
charles
Administrateur du site
Messages : 2429
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par charles » 31 août 2017 20:11

Nouvelle grosse vague "Lukitus" aux États-Unis en ce début de semaine :

https://blog.appriver.com/2017/08/locky ... -increase/

Pour esquiver les solutions de protection qui font du sandboxing, les fichiers Word en pièces jointes lancent le téléchargement de la charge malveillante à la fermeture du document.

Restons vigilants !

Avatar du membre
charles
Administrateur du site
Messages : 2429
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: [Vigilance] Retour du rançongiciel Locky (diablo6) (Lukitus)

Message par charles » 08 sept. 2017 12:03

Il semblerait qu'une grosse vague de messages accompagnés de droppers Lukitus ait arrosé la France cette nuit.

Des messages du type :

Code : Tout sélectionner

From: Microsoft <do_not_reply@asia.microsoft.com>

Date: Fri 08/09/2017 03:53

Subject: Microsoft Store E-invoice for your order #7833846815

Attachment: MS_INV_1046.7z

Body content:

    Dear Customer,
    Thank you for shopping with Microsoft Store

    Please find attached or download your official Microsoft Store Invoice.
    Please retain a copy of this invoice for your records. Your Microsoft
    invoice may also be required to obtain warranty services.

    Thank you

    Microsoft Store 2017
Les adresses expéditrice pourraient être du type :

Code : Tout sélectionner

do_not_reply@asia.microsoft.com | do_not_reply@us.microsoft.com | do_not_reply@eu.microsoft.com

Image
Les pièces jointes sont déjà détectés par certains antivirus :

https://www.virustotal.com/en/file/278e ... /analysis/

https://www.hybrid-analysis.com/sample/ ... mentId=100
Pas de dégâts chez vous ?

Soyez vigilants.

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »