Vacciner les postes de travail contre Locky

C’est dans un billet de blog que Sylvain Sarméjeanne, membre de l’équipe du Cert de Lexsi et spécialiste de la rétro-ingénierie de logiciels malveillant, propose de reprendre, pour se protéger le Locky, l’idée de vaccination utilisée par le passé contre Conficker.C. Et de proposer plusieurs approches établies à partir de l’observation du comportement du rançongiciel contre lequel même la gendarmerie nationale alerte depuis peu.

La première approche consiste à créer une clé de registre avant que Locky ne le fasse lui-même. Car, si la création de cette clé spécifique échoue, « Locky termine immédiatement ». Dès lors, en créant cette clé et en interdisant lecture et écriture sur cette dernière, « on vaccine totalement le système ».

Mais d’autres approches sont possibles, touchant encore à cette clé, mais visant cette fois-ci des valeurs utilisées par Locky : identifiant de la machine affectée, clé publique fournie par le serveur, texte de demande de rançon à présenter à la victime et surtout une valeur lui indiquant si le processus de chiffrement des données prises en otage est fini ou pas. Si cette dernière valeur est à 1, et « si de plus la valeur id contient l’identifiant correspondant à la machine [Locky] arrête son exécution ». L’algorithme de génération de l’identifiant est connu est présenté par Sylvain Sarméjeanne. Tous les ingrédients sont là pour renforcer la vaccination.

Dernier point : la clé publique. « Si cette valeur existe mais contient une valeur invalide, les fichiers ne sont ni renommés, ni chiffrés par Locky ». Une dernière approche consiste à forcer Locky à utiliser « une clé clé publique RSA sous notre contrôle et pour laquelle nous disposons de la clé privée associée ».

Dans son billet, Sylvain Sarméjeanne rappelle qu’il existe « des moyens très simples pour se protéger [de Locky] sans antivirus ni autre outil de sécurité, à condition de se préparer avant l’infection ». Les sauvegardes ont fait la démonstration de leur efficacité, mais la vaccination n’en est pas moins une approche intéressante. D’autant plus qu’elle permet d’éviter l’indisponibilité liée à la phase de restauration.

Léo Depriester, administrateur système, a pris la peine de produire une implémentation plus accessible à tout un chacun des vaccins proposés par Sylvain Sarméjeanne. Mais attention : les auteurs de ransomwares font rapidement évoluer leurs logiciels malveillants. Et il y a fort à parier qu’une variante de Locky résistante à ces vaccins apparaîtra sous peu.