Alerte : Campagne d'e-mail cryptoware Locky et rançon

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

Alerte : Campagne d'e-mail cryptoware Locky et rançon

Messagede pierre » 27 Fév 2016, 21:45

Alerte : Agence nationale de la sécurité des systèmes d'information

Alerte initiale
19 février 2016

Alerte révisée
02 mars 2016
03 mars 2016
04 mars 2016
7 avril 2016 : Clôture de l'alerte.

Campagne d'e-mail avec cryptoware Locky et demande de rançon

Il s'agit d'un Cryptoware avec demande de rançon (Ransomware)

1 - Risque(s)
Installation d'un logiciel malveillant de type Locky.

2 - Systèmes affectés
Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.

3 - Résumé
Depuis la mi-février 2016,vague, à l'échelle nationale, de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du Cryptoware avec demande de rançon (Ransomware) Locky.

Un Cryptoware et (Ransomware) est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l'utilisateur. La victime est ensuite invitée à verser de l'argent afin que l'attaquant déchiffre les fichiers ciblés.

Dans le cadre de cette campagne, et d'après les échantillons observés, la diffusion de Locky s'effectue par l'intermédiaire d'un pourriel dans lequel se trouve une pièce jointe au format doc. Ce document Microsoft Office contient un texte illisible ainsi qu'un message indiquant la nécessité d'activer les macros pour l'affichage correct du message. Macro dont l'objectif est la récupération puis l'exécution du malware. L'exécution de ce dernier entraine le chiffrement des données et les fichiers sont renommés avec l'extension ".locky".

Il est intéressant de noter que le message eléctronique a pour sujet "ATTN: Invoice J-<8 chiffres>" et la pièce jointe pour nom "invoice_J-<8 mêmes chiffres>". Cette caractéristique peut permettre le blocage ou la mise en place d'alertes via les serveurs mandataires.

À l'aide des échantillons remontés, on constat que les URLs de téléchargement du binaire Locky sont les suivantes :

avp-mech.ru/7/7.exe
bebikiask.bc00.info/5/5.exe
bnfoviesrdtnslo.uk
cscrrxyiyc.be
dkoipg.pw
drhxvktlaprrhl.be
dulichando.org
fnarsipfqe.pw
gahal.cz
http://193.124.181.169/main.php
http://195.154.241.208/main.php
http://91.195.12.185/main.php
http://91.234.33.206/main.php
https://103.23.154.184:443
https://103.245.153.70:343
https://129.15.240.105:443
https://140.78.60.4:443
https://144.76.73.3:1743
https://148.202.223.222:443
https://174.70.100.90:443
https://176.53.0.103:443
https://181.177.231.245:443
https://181.53.255.145:444
https://185.24.92.236:1743
https://185.47.108.92:443
https://188.126.116.26:443
https://193.17.184.250:443
https://194.126.100.220:443
https://200.57.183.176:443
https://209.239.86.10:443
https://217.35.78.204:443
https://41.38.18.230:443
https://41.86.46.245:443
https://46.183.66.210:443
https://62.109.133.248:444
https://85.143.166.200:1743
iamnickrobinson.com
iynus.net
jaomjlyvwxgdt.fr
jbdog.it
killerjeff.free.fr/2/2.exe
kpybuhnosdrm.in
luvenxj.uk
manipalecom.net
odcxeeg.tf
ofhhoowfmnuihyd.ru
onigirigohan.web.fc2.com/1/1.exe
premium34.tmweb.ru/4/4.exe
qheksr.de
sdwempsovemtr.yt
seaclocks.co.uk
tirohbvok.in
uponor.otistores.com/3/3.exe
vkrdbsrqpi.de
vldxhdofpmcos.uk
wpogw.it
http://www.iglobali.com
http://www.jesusdenazaret.com.ve
http://www.southlife.church
http://www.villaggio.airwave.at

Ajout de nouveaux marqueurs suite à une publication de McAfee (2016/02/22):

95.181.171.58
185.14.30.97
195.22.28.196
195.22.28.198
pvwinlrmwvccuo.eu
cgavqeodnop.it
kqlxtqptsmys.in
wblejsfob.pw

Mise à jour du 02.03.2016
Depuis le 29 févier 2016, le CERT-FR constate, à l'échelle nationale, une vague de pourriel sous la forme d'un message électronique provenant de l'opérateur de téléphonie mobile Free Mobile du type suivant :

Code: Tout sélectionner
Subject: Facture mobile du 29-02-2016
From: "Free Mobile" <freemobile@free-mobile.fr>
Date: 29/02/2016 12:01
To: <xxx@yyy.zzz>

Cher(e) abonne(e),

Veuillez trouver en pi�ce jointe votre facture mobile du 01-02-2016, d'un montant de 19.99E.

Vous pouvez � tout moment desactiver la reception de votre facture par email dans votre espace abonne : http://mobile.free.fr

Sinceres salutations.

L'equipe Free

--
Free Mobile - SAS au capital de 365.138.779 Euros - RCS PARIS 499 247 138 -
Siege social : 16 rue de la Ville l'eveque 75008 Paris


Attachments:
Freemobile_0782884641_29-02-2016.pdf    1,7 KB


La pièce jointe est en fait une archive ZIP contenant un fichier javascript nommé EPSON000<nombre à 10 chiffres>.js. Ce script va ensuite télécharger la charge malveillante. Parmi les échantillons analysés, les URLS suivantes sont utilisées pour ce téléchargement :

http://baiya_BAD_.org/image/templates/7ygvtyvb7niim.exe
http://bindulin_BAD_.by/system/logs/7ygvtyvb7niim.exe
http://english-well_BAD_.ru/assets/js/7ygvtyvb7niim.exe
http://kokliko_BAD_.com.ua/admin/swfupl ... b7niim.exe
http://liquor1.slvtechnologies_BAD_.com ... b7niim.exe
http://mansolution_BAD_.in.th/system/lo ... b7niim.exe
http://u1847.netangels_BAD_.ru/system/s ... b7niim.exe
http://www.notebooktable_BAD_.ru/system ... b7niim.exe

Nouveau marqueur (03/03/2016):

http://sm1_BAD_.by/vqmod/xml/76tr5rguinml.exe
http://dohoatrang.vn/system/logs/23f3rf33.exe

Serveurs de Commande et Contrôle (CnC)
Sur la base des différentes sources ouvertes sur Internet ainsi que d'éléments transmis par des partenaires du CERT-FR, voici une liste d'URLs suspectées d'abriter des services de commande et contrôle. La mise en liste noire de ces adresses est à considérer dans le cadre d'une protection contre le rançongiciel Locky.

http://193.124.181.169_BAD_/main.php
http://195.154.241.208_BAD_/main.php
http://91.195.12.185_BAD_/main.php
http://91.234.33.206_BAD_/main.php
http://109.234.38.35_BAD_/main.php
http://lneqqkvxxogomu.eu_BAD_/main.php
http://qpdar.pw_BAD_/main.php
http://ydbayd.de_BAD_/main.php
http://ssojravpf.be_BAD_/main.php
http://gioaqjklhoxf.eu_BAD_/main.php
http://txlmnqnunppnpuq.ru_BAD_/main.php
http://jbdog.IT_BAD_/main.php
http://kpybuhnosdrm.in_BAD_/main.php
http://luvenxj.uk_BAD_/main.php
http://dkoipg.pw_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://91.219.29.55_BAD_/main.php
http://46.4.239.76_BAD_/main.php
http://94.242.57.45_BAD_/main.php
http://80.86.91.232_BAD_/main.php
http://wblejsfob.pw_BAD_/main.php
http://kqlxtqptsmys.in_BAD_/main.php
http://cgavqeodnop.it_BAD_/main.php
http://vpvwinlrmwvccuo.eu_BAD_/main.php
http://dltvwp.it_BAD_/main.php
http://uxvvm.us_BAD_/main.php
http://195.154.241.208_BAD_/main.php
http://kqlxtqptsmys.in_BAD_/main.php
http://cgavqeodnop.it_BAD_/main.php
http://pvwinlrmwvccuo.eu_BAD_/main.php
http://dltvwp.it_BAD_/main.php
http://uxvvm.us_BAD_/main.php
http://wblejsfob.pw_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://91.219.29.55_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://188.138.88.184_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://88.138.88.184_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://185.46.11.239_BAD_/main.php
http://185.22.67.27_BAD_/main.php
http://31.184.233.106_BAD_/main.php
http://pccibcjncnhjn.yt_BAD_/main.php
http://qtysmobytagnrv.it_BAD_/main.php
http://rddipikmrap.us_BAD_/main.php
http://suhpqiumpjsv.ru_BAD_/main.php
http://vkcims.pm_BAD_/main.php
http://5.34.183.136_BAD_/main.php
http://91.121.97.170_BAD_/main.php
http://188.138.88.184_BAD_/main.php
http://31.41.47.37_BAD_/main.php
http://kcdxkbsk.tf_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://91.219.29.55_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://kxsvgrpytxfar.tf_BAD_/main.php
http://nuhiqgn.yt_BAD_/main.php
http://qkcehlnkcuts.fr_BAD_/main.php
http://slkyatnnaq.eu_BAD_/main.php
http://tdhlnatbwyc.pm_BAD_/main.php
http://195.154.241.208_BAD_/main.php
http://46.4.239.76_BAD_/main.php
http://94.242.57.45_BAD_/main.php
http://kqlxtqptsmys.in_BAD_/main.php
http://cgavqeodnop.it_BAD_/main.php
http://pvwinlrmwvccuo.eu_BAD_/main.php
http://dltvwp.it_BAD_/main.php
http://uxvvm.us_BAD_/main.php
http://wblejsfob.pw_BAD_/main.php
http://91.121.97.170_BAD_/main.php
http://46.4.239.76_BAD_/main.php
http://31.184.233.106_BAD_/main.php
http://185.46.11.239_BAD_/main.php
http://69.195.129.70_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://91.219.29.55_BAD_/main.php
http://wblejsfob.pw_BAD_/main.php
http://dkoipg.pw_BAD_/main.php
http://85.25.149.246_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://192.71.213.69_BAD_/main.php
http://95.213.184.10_BAD_/main.php
http://192.121.16.196_BAD_/main.php


4 - Contournement provisoire
Mesures préventives
Eviter l'ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d'apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d'exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle.

Configurer, sur les postes de travail, les restrictions logicielles pour empêcher l'exécution de code à partir d'une liste noire de répertoires :

Si la solution utilisée est AppLocker, les règles de blocage suivantes doivent être définies :
OSDRIVE\Users\*\AppData\
OSDRIVE\Windows\Temp\

Si les restrictions logicielles (SRP) sont utilisées, les règles de blocage suivantes doivent être définies :
UserProfile\AppData
SystemRoot\Temp

Il est important de vérifier que le service "Application Identity" (AppIDSvc) est paramétré en démarrage automatique sur l'ensemble des postes pour que les restrictions logicielles soient opérantes (ce mode de démarrage peut être paramétré à travers une politique de groupe sur le domaine Windows). Si des dysfonctionnements sont rencontrés suite au déploiement de ces règles de blocage, il est nécessaire d'identifier les applications légitimes situées dans ces répertoires, et de définir des règles en liste blanche afin d'autoriser leur exécution.

Mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.) en temps réel (toutes les 5 minutes, voire en favorisant le push). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin de publier des signatures en constante évolution. Par ailleurs, il convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier.

Effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) puis de vérifier qu'elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être écrasées (cas où c'est une version déjà chiffrée qui serait sauvegardée sans se rendre compte de la compromission). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l'entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production.

Mesures réactives
Si le code malveillant est découvert sur vos systèmes :

  • Déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
  • Alerter le responsable sécurité ou le service informatique au plus tôt.
  • Positionner les permissions des dossiers partagés en LECTURE SEULE afin d'empêcher la destruction des fichiers sur les partages. Les personnels pourront continuer de travailler localement et mettre à jour ultérieurement le partage.
    Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels.
  • Les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

Bloquer, sur le serveur mandataire, l'accès aux domaines ou URLs identifiés dans le message malveillant. L'objectif est de prévenir toute nouvelle compromission sur le même site.
Rechercher et supprimer les messages malveillants similaires dans les boîtes de messagerie des utilisateurs.
Réinstallation complète du poste et restauration d'une sauvegarde réputée saine des données de l'utilisateur.
Dans le cadre de l'utilisation de profils itinérants, il convient de supprimer la copie serveur du profil afin de prévenir la propagation des codes malveillants par ce biais.
Enfin, les fichiers chiffrés peuvent être conservés par la victime au cas où dans le futur, un moyen de recouvrement des données originales serait découvert.

Cette alerte sera maintenue tant que le volume de message électronique constaté sera considéré significatif.

5 - Documentation
https://kc.mcafee.com/resources/sites/M ... -Locky.pdf

6 - Informations complémentaires
Pour information, les émetteurs de messages électroniques sont repris ci-dessous. Leur mise en liste noire ne parait pas pertinente.

!&!AAAAAAAAAAAuAAAAAAAAAIA5c+jLVbFFlDbA ... @corten.fr
00001EB7D12CA34987A883C1209F3B62F59A9AD ... groupe.int
00001EB7D12CA34987A883C1209F3B62F5A9395 ... groupe.int
000401d16a8f$0759faa0$160defe0$@laposte.net
000801d169bb$a665df30$f3319d90$@sassier@orange.fr
0019EA19.C1EF.472.YOFO.oVdBrV@njkiwanis.org
007801d16a1e$d8697c90$893c75b0$@u-cergy.fr
00a101d16aa9$a812b2b0$f8381810$@outremer-telecom.fr
00af01d169cb$f81b20a0$e85161e0$@cegetel.net
00e501d16a76$e1313a40$a393aec0$@groupe-g2f.com
018d01d168ce$6fe75bc0$4fb61340$@capcomtech.fr
07897ED15DC69D722C8F@neuf.com
0ac4b972a6b9dfb82dc27fb7e79834c2@ahj.si
0rg2vxf95uwy0m2cqhva6tfm.1455768443972@ ... ndroid.com
11025_1455811924_56C5ED53_11025_1297_1_ ... ra.ftgroup
12c7d5cf.d12.152f09afddb.Coremail.nja57 ... 1f@163.com
1369575551.9537395.1455746606014.JavaMa ... .yahoo.com
1411CA5B0AF2D74DB09F41CDE40ACCBDC4853A8 ... raffic2.br
1411CA5B0AF2D74DB09F41CDE40ACCBDC4853AE ... raffic2.br
1462432584.8363361.1455650071965.JavaMa ... .yahoo.com
1517B9FC.90A.8516.LN.kAcwSE@pichincha.andinanet.net
152eded87e1-1d13-4368@webprd-a15.mail.aol.com
16951D6E-11A4-4369-A92E-E83B15A524B5@hiperf.fr
16cbc4355417471cad5a0ca8419aa025@MBX005.indiv.local
18BBF507ED0F084FA6A1B565ADB22E4D80D601A ... HOT.NET.IL
1938680651.10417268.1455841096264.JavaM ... .yahoo.com
20160217163104.EDF3FAACDB7@tenor.univers.fr
20160217201327.4894800.76330.12859@lamu ... enerale.fr
20160218163309.450CAAAC821@tenor.univers.fr
20161602083811.E8FEF3EA4DC@neuf.com
20161602123551.4AECBFAF23F@neufcegetel.fr
20161702120321.5902D11662F@contacteur-hyperphone.com
20161702155131.4B8367404FB@neufcegetel.fr
20161802180657.51A656C97D9@neuf.com
2118521242.29811.1455835233716.JavaMail.www@wwinf1c15
23FA7D5D5710FE46B4A5B97FA48A626DC275276 ... groupe.int
2C1546BF.BC8.509.ib.sUZMw@wise-rtd.info
2b1417f9e5224f76930f6c6a80877168@BY2PR4 ... d.msft.net
309617210.25327.1455817638020.JavaMail.www@wwinf1p15
3326287E-3D1B-40AB-B3C1-CE6E0A1807E1@yahoo.fr
33B3FF25E2F73B4AA274E1A081870EC6C7B1A45 ... data.local
388A0AD1.B98.07.yT.FwyJou@eurodiseno.com
40415f43-87a5-4f97-85c2-567bd39e8ae3
49F11370-6F80-4D5B-BB8F-272963B3D47C@laposte.net
4A6DC8A01ECE5444AC9EEEC8693A2CCA945BFCCB45@email
4A6DC8A01ECE5444AC9EEEC8693A2CCA945BFCCB4C@email
4A6DC8A01ECE5444AC9EEEC8693A2CCA9694DA3309@email
4C2D8BD42AC7E449BFCD8B4870D8E60DDEE31E@ ... groupe.int
4D2327F56CE98C4F90E1BA334F19CEAAEED39FB ... pinfra.com
4a20ec03-4354-4412-84d7-d33cf1598304
5381464D8F9ED14A8B595E0AF1D1F55801DA10D ... corpPT.com
55CB96CF.B59C.3780.KmM.pvkuJv@fibhost-6 ... ibernet.hu
5A2F5AA8.CB2.630.jb.pRwhJ@MNL1TEL008.c-cubeservices.com
5ab1wgjg6by3c4w8qyd50omm.1455742809876@ ... ndroid.com
5afee342a7777e54a6d9f44b69321c7e@send2.emailarray.com
5bbed472-0788-4c71-b622-faecedb55b2d@SE ... AD.SNCF.FR
606469601.10304104.1455823244415.JavaMa ... .yahoo.com
6092CC1F.9FDA8.860.QC.ypIy@audiochic.it
6763C09C081C5@neuf.com
679FAAB29C498248BB2E558667A813083D7CD82 ... ricsson.se
6B3C6E9D-6664-4B2C-A631-13E600037143@me.com
7241D615B920434B9E84DA303742D447AFB557A ... lucent.com
73E0D101-BC84-463F-A306-AFBF34CA530D@yahoo.fr
7C5F0E2D-49F7-4A43-8B89-C2B5463AF435@ymail.com
83D67CBBE6C3C04C86AF700BDAFD09935B13171347@email
83D67CBBE6C3C04C86AF700BDAFD09935CDA23EEA6@email
870139059.10325200.1455837484286.JavaMa ... .yahoo.com
889818900.93454.1455648210002.JavaMail.www@wwinf1z20
8A92FCD3-F379-49D2-A0DB-0BF4E7F91DE0@maugermesbahi.com
921144073.44655229.1455827483983.JavaMa ... proxad.net
924a9d807b033263efa651e0832541eb@connectedbynature.org
A1A57154411AF346A2039C0A6B4928AFEA52D77 ... 12.dvd.pri
AM4PR05MB15385851A2CA1F301E794953E6AD0@ ... utlook.com
AMSPR03MB116143F3206F424F5C7FC39EFAF0@A ... utlook.com
AMSPR05MB1450D69DF595BC36D506C7BB6AE0@A ... utlook.com
AMSPR06MB1527ECFB0B6F2211B6D7B1FAEAD0@A ... utlook.com
ATenneguin@tibco.fr
AnDonel057@theslyfoxpub.com
Annabelle.Perrot@turner.com
Arnaud.DELAMAIRE@come-in.fr
B8DDAFCB91DBCF4C867A639D0A554AAE17439E9 ... ad.cnes.fr
BCE5916B2028D74D93E7BDDB19FE7BB80199649 ... lucent.com
BaldwinBlair09715@ifxnw.cl
BarbraAhr68@czeladz.vectranet.pl
BarryCashing24@njkiwanis.org
BradleySam87192@lexington.se
C60180201D5F824D90D4B5FE1C327BDC016DA5B ... 1.tibco.fr
C810C41F8F204240BE05D1EF4D5EBB68010D9A5 ... GE.LA.PRIV
C8252B2C.CCAB4.2461.HmJ.ifyuOrX@golferio.com.br
C870A7F3F813884B8B741ED2AE2FB2E3781A48@ ... gemini.com
CA+4RT22FOPnPdt_cg2seEh3v6c=BjYpoHCtnk0 ... .gmail.com
CABo5sGbEU5Yg129SZ_7ZYW+r7kNUuga9DFysv- ... .gmail.com
CACPgJnxMnYCnoXuQvNdcwTc781OvWm8hwbcJhR ... .gmail.com
CACPgJnz1A=tC_fG=BU=snb=CsNBb5SjAqsJNQn ... .gmail.com
CACf=r57sjYNO6TQvHt8cPqaA0vbEMKtwjKDC0H ... .gmail.com
CAHygkrs9UNZwLc=_tOisHz3MZcVWoBk7DxVbQj ... .gmail.com
CAM5dL2htN5nFgUem1HnLcPnX+PPQ0XR8AP9uSN ... .gmail.com
CAPB3dL+0JovDVK8AWi+TZwRmZMu2kumPKnQiQ9 ... .gmail.com
CD13D0ED-EAB5-46AE-9A5E-FFAFFB34539B@yahoo.fr
CDD5017CE39EB04D88459EF73B9E2C222A82B36B7A@email
CLAURENCINE@afdtech.com
Carole.DUBOURG@lagardere-active.com
Catherine.Bidault@justice.fr
Catherine.Chastagner@justice.fr
CherryJeanette53@larawatch.com
ClareGreaney6993@omnitech.co.nz
Cyril.CHAMBADE@circet.fr
D19F82AE-2111-45ED-A961-94BD4B44BAB1@orange.fr
D23EA6C2F5B79831A8@cegetel.fr
D2E9111B.9DEF5%pcambria@ufc.com
D46A8D635BFC0E49B229AAA159D49B5FA2C48CE ... data.local
D46A8D635BFC0E49B229AAA159D49B5FA2C48CF ... data.local
DB4PR03MB08946B64C797997F6D656EF899AE0@ ... utlook.com
DB4PR07MB474CE18CF7DE0F2E2C9EC2CB3AE0@D ... utlook.com
DB5PR03MB112858C427CBFC1B24B69035EBAE0@ ... utlook.com
DB5PR04MB1016F761B43E14853E64EC20B8AD0@ ... utlook.com
DB5PR06MB1623AAFB8DFE3BE2F37BB1D3DAAD0@ ... utlook.com
DUB111-W741F778CD7F404BBCB1B81ABAF0@phx.gbl
DUB118-W239350CD048FB14C9E1E46AAAD0@phx.gbl
DUB121-W34CB322EFBEAF93330C9BDB3AD0@phx.gbl
DUB121-W4211D03425D1861DC31E6CF3AD0@phx.gbl
DUB126-W71DCCE65695A66730B7F21A7AD0@phx.gbl
DUB126-W839BA931CA06D5C70B1D5AACAD0@phx.gbl
DUB129-W11CD837F68B0376EA33E9390A00@phx.gbl
DUB129-W280EE69D2FD857133A79A690AF0@phx.gbl
David.Capel@fr.teleperformance.com
DeckerDixie6238@advance.com.ar
DouglasAda77908@mauli.it
E1212AF3-C748-4BD0-8CB7-ECD2308B6ACD@gmail.com
E7BC6D2E.8A2.58.ooyB.oJczMn@grupoeconomix.com.br
Edouard.Demont@chubb.com
F3CD65FC760BDF4288A63F7729761DB97592B37 ... ea.tpg.ads
F6A5128029D80B41BC68D4F6797BF9B111C3BF8 ... circet.net
Florence.Sorondo@ogf.fr
FrancoEbony28@lifefw.com
FrediaLenzini640@aamranetworks.com
G.BLANCHARD@ert-technologies.fr
Guichet_IPisation@alten.com
Guillaume.Coffin@turner.com
HE1PR02MB0793208539918747AB4D1A6286AF0@ ... utlook.com
HaroldCallaway98@revalid.hu
HoustonBeane09407@famal.com.br
JaneanKjellman57027@globalnet.hr
Jin-suTai@hhi.co.kr
Karine.ROISIN@connectassistance.fr
KeithShelley739@prolegal.ca
LeopoldoMiene81@pichincha.andinanet.net
LoydAlsandor155@edelweissgestao.com.br
LuiseKint2017@grupoeconomix.com.br
MKANOUTE@afdtech.com
MaddenJoyce65487@brothers.ws
MaliaParetti078@elisiumrockshard.com
MaragaretSikat35238@business.telecomitalia.it
Marion.SCHULZ@circet.fr
MccartyCorine6900@jonel.com.br
MertieMuzzarelli47678@home.megalan.bg
MilesZappia69@ttnet.com.tr
MirandaAlyson891@ingearcycling-fitness.com
MorrisonCheryl33@boishop.com.br
NathanielClay963@mnl1tel008.c-cubeservices.com
PS1PR04MB095642FB0CE0274C802DB79D8BAF0@ ... utlook.com
ParkKatie94246@interkam.pl
Patrick.VU@ldcom.fr
PaulDuplesis1617@mailserver.rmoneyindia.in
Philippe.Durand@oneaccess-net.com
RETTALEB@afdtech.com
RandeeLonzo51514@fibhost-66-251-148.fibernet.hu
RayBachman90050@eurodiseno.com
Ressource-SDH@neufcegetel.fr
RodriguezElliott90130@sasbrazil.com
RushHattie96516@comcastbusiness.net
SRS0=xQQK=OQ=apextt.com=WarrenMorgan33@znix.gadz.org
SUPPORT@alcatel-lucent.com
SalinaHolan03439@tricom.net
SmallEstela6923@kennydesign.co.uk
Support-IN@neufcegetel.info
Support_TRANS2@neufcegetel.fr
TannaTrosien43936@vnpt-hanoi.com.vn
Thomas.BAQUE@circet.fr
Thomas.CALIN@circet.fr
ThomasKatheryn725@esteticakaizen.com.ar
WatsonReginald68@bsepvt.com
Wilfried.Schutt@tatacommunications.com
YorkEzra4351@gardeningcatalogs.com
acropolis.voyages@yahoo.com
adeline.marie.45@hotmail.fr
adldannen@cegetel.fr
agathesasso@hotmail.fr
akil.daboul@9telecom.fr
alain.moquet@neufcegetel.fr
ale73_25944@yahoo.com
ale73_267076@yahoo.com
ale73_3174@yahoo.com
ale73_375736@yahoo.com
ale73_390258@yahoo.com
ale73_619107@yahoo.com
ale73_742@yahoo.com
ale73_764182@yahoo.com
ale73_79882@yahoo.com
ale73_801@yahoo.com
ale73_821@yahoo.com
ale73_875@yahoo.com
alexander.vonmoers@at.redbullmediahouse.com
alexandra.depropopoff@9telecom.fr
alexandre.aba@orange.fr
amadjid2006@yahoo.fr
amelie.nouyrigat@vdcom.fr
ana-btz@hotmail.fr
annabelle.barroux@connex-it.fr
annesophie.nounkam@yahoo.fr
areynier@fp-lp.fr
arnaud.wattel@sogeti.com
aurelie.parant@hotmail.fr
aurelie.sparma@hotmail.fr
av045741@elior.com
aymeric.Aurry@ogf.fr
ayouchleila@yahoo.fr
azerty62@neuf.com
azouaghahmed@gmail.com
azur.traiteur@hotmail.fr
b.barraud@outremer-telecom.fr
benssas.abdelali@gmail.com
bruno.lorre@dgfip.finances.gouv.f
bykh35xtx8e25y1cu9i145ub.1455689999742@ ... ndroid.com
bzhsa@yahoo.fr
c.richer@outremer-telecom.fr
cdt-vendin@arvato.fr
cecile.mascre-sc@airliquide.com
celine.h@hbcom3000.com
charles.nicolas@ymail.com
christelle.lemoal@vdcom.fr
christine.blanchet@creaweb.fr
christophe.buard@interieur.gouv.fr
claire.pietranico@fg2a.com
clarisfp@hotmail.fr
claude.durif-fx10749@fr.michelin.com
claude.niay@neuf.com
claudemennillo@aol.com
clubsportifveigy.secretariat@gmail.com
cmsharpscan2580@gmail.com
cmsharpscan3056@gmail.com
cmsharpscan5349@gmail.com
cmsharpscan5686@gmail.com
cmsharpscan8598@gmail.com
comiteaeve@gmail.com
constant.tchesse@yahoo.fr
contact@artois.ufcquechoisir.fr
cvanderstichel@aol.com
cyrille.groube@gmail.com
d.persegol@outremer-telecom.fr
david.keller@5sur5-entreprises.fr
dimitri.dekeyzer@accenture.com
dodge@kaptech.com
dpe-stea.sapouest@paris.fr
e61ac5ecadba497f86efd1b8dde94b51@DB3PR3 ... d.msft.net
elodie.calderon@gmail.com
emauger@maugermesbahi.com
enattendant@cegetel.fr
eric.lambert.located@eu.didata.com
eric.leconte@9telecom.fr
eric.souchaud@e5group.fr
es@colombanisemmel.com
eva.noiret@laposte.net
f.mougel@ert-technologies.fr
face.grandtoulouse@fondationface.org
fbaboulla@ausy.fr
fcuiller@cisco.com
fheraoui@afdtech.com
florence.thierry@snef.fr
francesco.barbe.ext@cgi.com
frederic.rogel@eu.didata.com
g.dubois@gdholding.fr
gautam.saraf@accenture.com
gbresson@seris-group.fr
gbresson@seris-security.com
gbrussaut@deloitte.fr
georges.pugniet@panzani.fr
gghd@cegetel.net
ghani.toutah@eu.didata.com
gloriaelbagarzagarcia@gmail.com
guillaume.dosba-nave@nokia.com
guysouche@orange.fr
gwenola.mouilleseaux@numergy.com
hdebie@deloitte.fr
helene.belet@5sur5.fr
hermionekihoulou@gmail.com
hftf3webit5cd6frth959gme.1455831935767@ ... ndroid.com
hicham.jemmal@nokia.com
ilepers@infracos.fr
ilias.bzrd.93@gmail.com
info@yortax.com
isabelle.mazingand@orange.fr
jafcano94@yahoo.fr
jean-michel.bouchet@thalesgroup.com
jean-paul.khan@securitas.fr
jean.lebastard@9telecom.fr
jennymeziane@gmail.com
jforasetto@gmail.com
jhooles@gmail.com
jmbchoueiri@hotmail.com
joris.pollaris@manpower.fr
jrgb@free.fr
jtesu0qij4ajjtfoyrr69yd1.1455768555358@ ... ndroid.com
julien.collin@sia-partners.com
jydhermain@mcstv.fr
karamba_fr@hotmail.com
kfenestil@yahoo.fr
kittycat971@hotmail.com
l.mouna.159@gmail.com
l.sdrati@ert-technologies.fr
layane94@hotmail.fr
lcarre@deloitte.fr
leagallart@hotmail.fr
lflochel@crai.com
lgouiran@yahoo.fr
lsamarcq@domusvi.com
lucas.montovany@hotmail.fr
luigi.longo@groupe-g2f.com
madeleinedevaugelas@gmail.com
magali.friot@cegetelservice.fr
malik.idri@cliffordchance.com
marches.publics@vdcom.fr
marianne.robert@aolia.fr
martyna.ostrowska@yesnyou.com
mathieu.deangeli@thalesgroup.com
mathieu.lagache@groupevitaminet.com
max.boursin@laposte.net
mbark.mabrouk@optedis.fr
menouar_tiachadine@yahoo.fr
mherve@crai.com
miboel@cegetel.fr
michel.moussa@me.com
michele.viala@wanadoo.fr
miguel-sousa@telecom.pt
mlabiedh@gmail.com
mohammed.yahyaoui.ext@nokia.com
moises.nunezhidalgo@gmail.com
moon.chawla@accenture.com
mrmangou11@gmail.com
msettaf@afdtech.com
n.garcin@ert-technologies.fr
nabil.ouali@nokia.com
nadege.placide@hotmail.fr
nadine.moal@cegetel.fr
nathaliegrard@yahoo.fr
ngouthier@afdtech.com
nicolas.rotkoff@altice.net
nnouidrat@ma.webhelp.com
no.reply@extranet-clubalpin.com
o2nln8.87832@youandyes.yourenglishsolution.fr
owf.info@orange.com
owner-fsag@lists.gsma.com
p.mello@ert-technologies.fr
pascal.goncalves13@orange.fr
patricia.autran@bnpparibas.com
pauline.stevenson@vditelecom.fr
performance@synerail-exploitation.com
philippe.jorrey@orange.fr
philippe.pelisson@9telecom.fr
phroussel@corten.fr
pierre-yves.mengin@conti.de
pierre.hadjadj@laposte.net
pinkneyIsreal43@ttnet.com.tr
planification-prodip@afdtech.com
pole-urx@grandlyon.com
popey8872@cegetel.fr
porsche66@neuf.com
postmaster1ter.connectt@gmail.com
producao@traffic.com.br
production@codexa.fr
prvs=185589fdfd=backoffice@ubiqus.com
prvs=84800a49c=Accueil.PCTF@sncf.fr
ram@maurecourt.fr
renzo.tentoni@securitas.fr
returns@computerfutures.fr
rgros@splunk.com
rizvane.djaffar@gmail.com
rloupit@deloitte.fr
robertluke.dixon@vodafone.com
ronan.kirsch@connectedbynature.org
roxanedesmit@icloud.com
rspg-bounces@lists.anfr.fr
s3c@cfdtgironde.fr
sdemode@monoprix.fr
sebastien.barbu@5sur5-entreprises.fr
sebastien.levy.prestataire@neufcegetel.fr
sebastien.louyot@ldcom.fr
selmo-m-guerreiro@telecom.pt
sonia.driouich@laposte.net
sr66d52pv64sv260dn4ogtud.1455650968803@ ... ndroid.com
stephane.dauchet@manpower.fr
steve.devassine@intradef.gouv.fr
sylvain.lot@nokia.com
taous.mezdad@gmail.com
thibauttorres2306@gmail.com
thierry.haton@nokia.com
tlelong@deloitte.fr
valou.ptitclaude@free.fr
vincent.murat.ext@nokia.com
yogr0qkvm91igv5tvfu64qap.1455663196407@ ... ndroid.com
zeldiffusion@yahoo.fr
zhenxi.ye@atos.net
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24829
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Alerte : Campagne d'e-mail cryptoware Locky et rançon

Messagede pierre » 27 Fév 2016, 21:57

Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24829
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Alerte : Campagne d'e-mail cryptoware Locky et rançon

Messagede pierre » 03 Mar 2016, 00:02

Mise à jour du 02.03.2016
Depuis le 29 févier 2016, le CERT-FR constate, à l'échelle nationale, une vague de pourriel sous la forme d'un message électronique provenant de l'opérateur de téléphonie mobile Free Mobile du type suivant :

Code: Tout sélectionner
Subject: Facture mobile du 29-02-2016
From: "Free Mobile" <freemobile@free-mobile.fr>
Date: 29/02/2016 12:01
To: <xxx@yyy.zzz>

Cher(e) abonne(e),

Veuillez trouver en pi�ce jointe votre facture mobile du 01-02-2016, d'un montant de 19.99E.

Vous pouvez � tout moment desactiver la reception de votre facture par email dans votre espace abonne : http://mobile.free.fr

Sinceres salutations.

L'equipe Free

--
Free Mobile - SAS au capital de 365.138.779 Euros - RCS PARIS 499 247 138 -
Siege social : 16 rue de la Ville l'eveque 75008 Paris


Attachments:
Freemobile_0782884641_29-02-2016.pdf    1,7 KB


La pièce jointe est en fait une archive ZIP contenant un fichier javascript nommé EPSON000<nombre à 10 chiffres>.js. Ce script va ensuite télécharger la charge malveillante. Parmi les échantillons analysés, les URLS suivantes sont utilisées pour ce téléchargement :

http://baiya_BAD_.org/image/templates/7ygvtyvb7niim.exe
http://bindulin_BAD_.by/system/logs/7ygvtyvb7niim.exe
http://english-well_BAD_.ru/assets/js/7ygvtyvb7niim.exe
http://kokliko_BAD_.com.ua/admin/swfupl ... b7niim.exe
http://liquor1.slvtechnologies_BAD_.com ... b7niim.exe
http://mansolution_BAD_.in.th/system/lo ... b7niim.exe
http://u1847.netangels_BAD_.ru/system/s ... b7niim.exe
http://www.notebooktable_BAD_.ru/system ... b7niim.exe
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24829
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Alerte : Campagne d'e-mail cryptoware Locky et rançon

Messagede pierre » 05 Mar 2016, 00:06

Nouveau marqueur (03/03/2016):

http://sm1_BAD_.by/vqmod/xml/76tr5rguinml.exe
http://dohoatrang.vn/system/logs/23f3rf33.exe

Serveurs de Commande et Contrôle (CnC)
Sur la base des différentes sources ouvertes sur Internet ainsi que d'éléments transmis par des partenaires du CERT-FR, voici une liste d'URLs suspectées d'abriter des services de commande et contrôle. La mise en liste noire de ces adresses est à considérer dans le cadre d'une protection contre le rançongiciel Locky.

http://193.124.181.169_BAD_/main.php
http://195.154.241.208_BAD_/main.php
http://91.195.12.185_BAD_/main.php
http://91.234.33.206_BAD_/main.php
http://109.234.38.35_BAD_/main.php
http://lneqqkvxxogomu.eu_BAD_/main.php
http://qpdar.pw_BAD_/main.php
http://ydbayd.de_BAD_/main.php
http://ssojravpf.be_BAD_/main.php
http://gioaqjklhoxf.eu_BAD_/main.php
http://txlmnqnunppnpuq.ru_BAD_/main.php
http://jbdog.IT_BAD_/main.php
http://kpybuhnosdrm.in_BAD_/main.php
http://luvenxj.uk_BAD_/main.php
http://dkoipg.pw_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://91.219.29.55_BAD_/main.php
http://46.4.239.76_BAD_/main.php
http://94.242.57.45_BAD_/main.php
http://80.86.91.232_BAD_/main.php
http://wblejsfob.pw_BAD_/main.php
http://kqlxtqptsmys.in_BAD_/main.php
http://cgavqeodnop.it_BAD_/main.php
http://vpvwinlrmwvccuo.eu_BAD_/main.php
http://dltvwp.it_BAD_/main.php
http://uxvvm.us_BAD_/main.php
http://195.154.241.208_BAD_/main.php
http://kqlxtqptsmys.in_BAD_/main.php
http://cgavqeodnop.it_BAD_/main.php
http://pvwinlrmwvccuo.eu_BAD_/main.php
http://dltvwp.it_BAD_/main.php
http://uxvvm.us_BAD_/main.php
http://wblejsfob.pw_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://91.219.29.55_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://188.138.88.184_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://88.138.88.184_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://185.46.11.239_BAD_/main.php
http://185.22.67.27_BAD_/main.php
http://31.184.233.106_BAD_/main.php
http://pccibcjncnhjn.yt_BAD_/main.php
http://qtysmobytagnrv.it_BAD_/main.php
http://rddipikmrap.us_BAD_/main.php
http://suhpqiumpjsv.ru_BAD_/main.php
http://vkcims.pm_BAD_/main.php
http://5.34.183.136_BAD_/main.php
http://91.121.97.170_BAD_/main.php
http://188.138.88.184_BAD_/main.php
http://31.41.47.37_BAD_/main.php
http://kcdxkbsk.tf_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://91.219.29.55_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://kxsvgrpytxfar.tf_BAD_/main.php
http://nuhiqgn.yt_BAD_/main.php
http://qkcehlnkcuts.fr_BAD_/main.php
http://slkyatnnaq.eu_BAD_/main.php
http://tdhlnatbwyc.pm_BAD_/main.php
http://195.154.241.208_BAD_/main.php
http://46.4.239.76_BAD_/main.php
http://94.242.57.45_BAD_/main.php
http://kqlxtqptsmys.in_BAD_/main.php
http://cgavqeodnop.it_BAD_/main.php
http://pvwinlrmwvccuo.eu_BAD_/main.php
http://dltvwp.it_BAD_/main.php
http://uxvvm.us_BAD_/main.php
http://wblejsfob.pw_BAD_/main.php
http://91.121.97.170_BAD_/main.php
http://46.4.239.76_BAD_/main.php
http://31.184.233.106_BAD_/main.php
http://185.46.11.239_BAD_/main.php
http://69.195.129.70_BAD_/main.php
http://5.34.183.195_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://91.219.29.55_BAD_/main.php
http://wblejsfob.pw_BAD_/main.php
http://dkoipg.pw_BAD_/main.php
http://85.25.149.246_BAD_/main.php
http://31.184.197.119_BAD_/main.php
http://51.254.19.227_BAD_/main.php
http://185.14.29.188_BAD_/main.php
http://192.71.213.69_BAD_/main.php
http://95.213.184.10_BAD_/main.php
http://192.121.16.196_BAD_/main.php
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24829
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Alerte : Campagne d'e-mail cryptoware Locky et rançon

Messagede pierre » 07 Avr 2016, 23:11

Clôture de l'alerte ce 07.04.2016
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24829
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 9 invités