Locky est encore de retour. Fournisseur de solutions de messagerie électronique et sécurité, AppRiver rapporte avoir détecté fin août l'envoi en l'espace de 24 heures de 23 millions de messages véhiculant ce ransomware.
En pièce jointe, une archive ZIP contient un script VBS (Visual Basic Script) lui-même contenu dans un second fichier ZIP. Ce script lance un programme de téléchargement qui contacte un domaine pour obtenir la dernière version de Locky.
Le ransomware chiffre les fichiers d'un système pris pour cible et y ajoute l'extension .lukitus. Une notification avec un lien vers un portail en .onion demande une rançon de 0,5 bitcoin en échange de Locky Decryptor pour déchiffrer les fichiers.
Lukitus serait une variante de Locky qui a aussi été repérée dans une campagne avec de soi-disant notifications de Dropbox.
The dropbox themed spammails you have been receiving the past 10 hours is indeed #locky : Affid=3 & DGA=55882, adds the .Lukitus extension. pic.twitter.com/8I3s6YdJ1u
— peterkruse (@peterkruse) 1 septembre 2017
Également pour Locky ou Lukitus, Malwarebytes Labs a par ailleurs découvert des documents Word piégés et l'exploitation d'une fonctionnalité pour contourner des analyses automatisées via des protections sandbox.
Le ransomware Locky a cette fâcheuse tendance à revenir de temps à temps avec des campagnes de diffusion de grande envergure. Il y a sans doute un botnet tenace à la manœuvre.
