{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tous les syst\u00e8mes d'exploitations Windows peuvent \u00eatre  victimes de ce ran\u00e7ongiciel.</P>","closed_at":"2015-07-10","content":"## Solution\n\n## Mesures pr\u00e9ventives\n\nLe CERT-FR recommande de sensibiliser les utilisateurs aux risques\nassoci\u00e9s aux messages \u00e9lectroniques pour \u00e9viter l'ouverture de pi\u00e8ces\njointes de type SCR, CAB ou EXE. Il convient en effet de ne pas cliquer\nsans v\u00e9rification pr\u00e9alable sur les liens de messages et les pi\u00e8ces\njointes. Les utilisateurs ne doivent pas ouvrir de messages\n\u00e9lectroniques de provenance inconnue, d'apparence inhabituelle ou\nfrauduleuse.\n\nLe CERT-FR recommande \u00e9galement de filtrer les fichiers portant\nl'extension SCR, EXE et CAB en pi\u00e8ce jointe des messages \u00e9lectroniques.\nSi l'\u00e9change de tels fichiers est indispensable dans certains contextes\nfonctionnels, il convient de bloquer ces fichiers globalement et de ne\nles autoriser que pour les boites de messageries qui le n\u00e9cessitent\nabsolument. Par ailleurs, si la passerelle de messagerie le permet, il\nest recommand\u00e9 de r\u00e9aliser ce filtrage \u00e9galement dans les fichiers des\narchives ZIP.\n\nPlus g\u00e9n\u00e9ralement, il convient de mettre \u00e0 jour les postes utilisateur,\nnotamment le syst\u00e8me d'exploitation et les applications expos\u00e9es sur\nInternet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans\nle cas o\u00f9 le code malveillant (ou une variante) exploiterait une\nvuln\u00e9rabilit\u00e9 logicielle\n\nLe CERT-FR recommande de configurer sur les postes de travail les\nrestrictions logicielles pour emp\u00eacher l'ex\u00e9cution de code \u00e0 partir\nd'une liste noire de r\u00e9pertoires :\n\n-   Si la solution utilis\u00e9e est AppLocker, les r\u00e8gles de blocage\n    suivantes doivent \u00eatre d\u00e9finies :\n    -   `%OSDRIVE%\\Users\\*\\AppData\\`\n    -   `%OSDRIVE%\\Windows\\Temp\\`\n-   Si les restrictions logicielles (SRP) sont utilis\u00e9es, les r\u00e8gles de\n    blocage suivantes doivent \u00eatre d\u00e9finies :\n    -   `%UserProfile%\\AppData`\n    -   `%SystemRoot%\\Temp`\n\n(cf les recommandations de l'ANSSI \u00e0 ce sujet dans la partie\n\"Documentation\")\n\nIl est important de v\u00e9rifier que le service \"Application Identity\"\n(AppIDSvc) est param\u00e9tr\u00e9 en d\u00e9marrage automatique sur l'ensemble des\npostes pour que les restrictions logicielles soient op\u00e9rantes (ce mode\nde d\u00e9marrage peut \u00eatre param\u00e9tr\u00e9 \u00e0 travers une politique de groupe sur\nle domaine Windows).\n\nSi des dysfonctionnements sont rencontr\u00e9s suite au d\u00e9ploiement de ces\nr\u00e8gles de blocage, il est n\u00e9cessaire d'identifier les applications\nl\u00e9gitimes situ\u00e9es dans ces r\u00e9pertoires, et de d\u00e9finir des r\u00e8gles en\nliste blanche afin d'autoriser leur ex\u00e9cution.\n\nLe CERT-FR recommande \u00e9galement de mettre \u00e0 jour les logiciels antivirus\ndu parc informatique (postes utilisateur, passerelle de messagerie,\netc.). Le code malveillant \u00e9tant polymorphe, les \u00e9diteurs antivirus ont\nbesoin de publier des signatures en constante \u00e9volution. Par ailleurs,\nil convient d'envoyer d\u00e8s que possible un exemplaire du code malveillant\n\u00e0 votre \u00e9diteur de logiciel antivirus si la variante n'est pas d\u00e9tect\u00e9e\npar ce dernier.\n\nEnfin, le CERT-FR recommande d'effectuer des sauvegardes saines et\nr\u00e9guli\u00e8res des syst\u00e8mes et des donn\u00e9es (postes de travail, serveurs)\npuis de v\u00e9rifier qu'elles se sont correctement d\u00e9roul\u00e9es. Les\nsauvegardes ant\u00e9rieures ne doivent pas \u00eatre \u00e9cras\u00e9es (cas o\u00f9 une version\nchiffr\u00e9e aurait \u00e9t\u00e9 sauvegard\u00e9e). Les sauvegardes doivent \u00eatre r\u00e9alis\u00e9es\nen priorit\u00e9 sur les serveurs h\u00e9bergeant des donn\u00e9es critiques pour le\nfonctionnement de l'entit\u00e9. Celles-ci doivent \u00eatre stock\u00e9es sur des\nsupports de donn\u00e9es isol\u00e9s du r\u00e9seau en production.\n\n## Mesures r\u00e9actives\n\nSi le code malveillant est d\u00e9couvert sur vos syst\u00e8mes, le CERT-FR\nrecommande de d\u00e9connecter imm\u00e9diatement du r\u00e9seau les machines\nidentifi\u00e9es comme compromises. L'objectif est de bloquer la poursuite du\nchiffrement et la destruction des documents partag\u00e9s.\n\nLe CERT-FR recommande aussi d'alerter le responsable s\u00e9curit\u00e9 ou le\nservice informatique au plus t\u00f4t.\n\nLe temps de revenir \u00e0 une situation normale, le CERT-FR recommande\n\u00e9galement de positionner les permissions des dossiers partag\u00e9s en\nLECTURE SEULE afin d'emp\u00eacher la destruction des fichiers sur les\npartages. Les personnels pourront continuer de travailler localement et\nmettre \u00e0 jour ult\u00e9rieurement le partage.\n\nAussi, le CERT-FR recommande de prendre le temps de sauvegarder les\nfichiers importants sur des supports de donn\u00e9es isol\u00e9s. Ces fichiers\npeuvent \u00eatre alt\u00e9r\u00e9s ou encore \u00eatre infect\u00e9s. Il convient donc de les\ntraiter comme tels. De plus, les sauvegardes ant\u00e9rieures doivent \u00eatre\npr\u00e9serv\u00e9es d'\u00e9crasement par des sauvegardes plus r\u00e9centes.\n\nLe CERT-FR recommande \u00e9galement de bloquer sur le serveur mandataire\nl'acc\u00e8s aux domaines ou URLs identifi\u00e9s dans le message malveillant.\nL'objectif est de pr\u00e9venir toute nouvelle compromission sur le m\u00eame\nsite. Une liste d'URL connues du CERT-FR est fournie en annexe,\ntoutefois il est bien pr\u00e9cis\u00e9 qu'elle n'est pas exhaustive.\n\nEn compl\u00e9ment, le CERT-FR recommande de rechercher et supprimer les\nmessages malveillants similaires dans les bo\u00eetes de messagerie des\nutilisateurs\n\nEnfin, le CERT-FR recommande la r\u00e9installation compl\u00e8te du poste et la\nrestauration d'une sauvegarde r\u00e9put\u00e9e saine des donn\u00e9es de\nl'utilisateur.\n\nDe plus, dans le cadre de l'utilisation de profils itin\u00e9rants, il\nconvient de supprimer la copie serveur du profil afin de pr\u00e9venir la\npropagation des codes malveillants par ce biais.\n\nN\u00e9anmoins, le CERT-FR souhaite faire remarquer que des fichiers chiffr\u00e9s\npeuvent \u00eatre conserv\u00e9s par la victime au cas o\u00f9 dans le futur, un moyen\nde recouvrement des donn\u00e9es originales serait d\u00e9couvert.\n\n## Annexes : marqueurs de CTB-Locker\n\nCette liste de marqueurs n'est pas exhaustive et susceptible d'\u00eatre mise\n\u00e0 jour ult\u00e9rieurement.\n\n### Champs \"Objet\" de messages malveillants\n\n    [Fax server] +07909 546940\n    copy from +07540040842\n    Message H4H2LC68B7167E4F4\n    New incoming fax message, S8F8E423F9285C5\n    Incoming fax from +07843-982843\n    [Fax server]:+07725-855368\n    Fax ZC9257943991110\n    New fax message from +07862-678057\n\n### Liens utilis\u00e9s pour le t\u00e9l\u00e9chargement du logiciel malveillant\n\n    hxxp://agatecom.fr/voeux/doom.tar.gz\n    hxxp://aspiroflash.fr/cai/abc.tar.gz\n    hxxp://baselineproduction.fr/Modules/doom.tar.gz\n    hxxp://bikeceuta.com/templates/nero.tar.gz\n    hxxp://breteau-photographe.com/tmp/pack.tar.gz\n    hxxp://cargol.cat/IESABP/nero.tar.gz\n    hxxp://cds-chartreuse.fr/locales/sancho.tar.gz\n    hxxp://cognacbrown.co.uk/ChromeSetup.exe\n    hxxp://collection-opus.fr/_gfx/cario.tar.gz\n    hxxp://compassfx.com/OLD/cario.tar.gz\n    hxxp://dariocasati.it/logs/dostanes_do_drzky.tar.gz\n    hxxp://dequinnzangersborne.nl/language/upupup.tar.gz\n    hxxp://dieideenwerkstatt.at/css/abc.tar.gz\n    hxxp://evalero.com/img/cario.tar.gz\n    hxxp://fbrugues.com/language/hiser.tar.gz\n    hxxp://firststepbahamas.com/PDF/abc.tar.gz\n    hxxp://fotocb.de/php/upupup.tar.gz\n    hxxp://funnydeando.com/pdthm0/moon1.exe\n    hxxp://hotel-mas-saint-joseph.com/css/pack.tar.gz\n    hxxp://Icedjungle.com/pdthm0/dan2.exe\n    hxxp://integritysites.net/files/nero.tar.gz\n    hxxp://jbmsystem.fr/jb/pack.tar.gz\n    hxxp://joefel.com/easyscripts/sancho.tar.gz\n    hxxp://krzysztofkarpinski.pl/log/hiser.tar.gz\n    hxxp://locamat-antilles.com/memo/sancho.tar.gz\n    hxxp://maisondessources.com/assets/pack.tar.gz\n    hxxp://m-a-metare.fr/media/sancho.tar.gz\n    hxxp://masterbranditalia.com/downloader/cario.tar.gz\n    hxxp://microneedle.com/menu_files/pack.tar.gz\n    hxxp://mmadolec.ipower.com/me/cario.tar.gz\n    hxxp://n23.fr/asstempo/doom.tar.gz\n    hxxp://necaps.org/pagestyles/mine.tar.gz\n    hxxp://ohayons.com/dostanes_do_drzky.tar.gz\n    hxxp://ourtrainingacademy.com/LeadingRE/sancho.tar.gz\n    hxxp://peche-sportive-martinique.com/wp-includes/pack.tar.gz\n    hxxp://pinballpassion.fr/images/mine.tar.gz\n    hxxp://pleiade.asso.fr/piwigotest/pack.tar.gz\n    hxxp://ppc.cba.pl/cache/nero.tar.gz\n    hxxp://prevencionprl.com/im/hiser.tar.gz\n    hxxp://pubbliemme.com/plugins/doom.tar.gz\n    hxxp://scolapedia.org/histoiredesarts/pack.tar.gz\n    hxxp://shop-oye.it/XXXinstallXXX/abc.tar.gz\n    hxxp://siestahealthtrack.com/media/pack.tar.gz\n    hxxp://smartoptionsinc.com/data-test/nero.tar.gz\n    hxxp://sp107.home.pl/logs/dostanes_do_drzky.tar.gz\n    hxxp://springtree.cba.pl/modules/cario.tar.gz\n    hxxp://stevenblood.com/ChromeSetup.exe\n    hxxp://stmarys-andover.org.uk/audio_files/upupup.tar.gz\n    hxxp://telasramacrisna.com.br/ramacrisna/mine.tar.gz\n    hxxp://telasramacrisna.com.br/site/lightbox/hiser.tar.gz\n    hxxp://thelastxmas.com/ChromeSetup.exe\n    hxxp://thehollow.co/ChromeSetup.exe\n    hxxp://thinkonthis.net/style/dostanes_do_drzky.tar.gz\n    hxxp://thomasottogalli.com/webtest/sancho.tar.gz\n    hxxp://voigt-its.de/fit/pack.tar.gz\n    hxxp://wcicinc.org/flv/dostanes_do_drzky.tar.gz\n    hxxp://wireandwoods.ru/pdthm0/042.exe\n    hxxp://www.baddadclub.com/ChromeSetup.exe\n    hxxp://www.cpeconsultores.com/tmp/pack.tar.gz\n    hxxp://www.geordie.land/ChromeSetup.exe\n    hxxp://www.goodtobeloved.com/ChromeSetup.exe\n    hxxp://www.lamas.si/picture_library/upupup.tar.gz\n    hxxp://www.sazlar.de/sazlar/mine.tar.gz\n    hxxp://www.thelatxma.com/ChromeSetup.exe\n    hxxp://wymiana-wsb.cba.pl/pp/abc.tar.gz\n    hxxp://zysztofkarpinski.pl/log/hiser.tar.gz\n\n(remplacer hxxp par http)\n","cves":[],"links":[{"title":"Article de Bleeping Computer sur CTB Locker","url":"http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information"},{"title":"Article de 2-viruses sur CTB Locker","url":"http://www.2-viruses.com/ctb-lockercritroni-ransomware-now-is-distributed-with-fake-google-chrome-update"},{"title":"Article du CERT Soci\u00e9t\u00e9 G\u00e9n\u00e9rale sur CTB Locker","url":"http://blog.cert.societegenerale.com/2015/02/ctb-locker-new-massive-crypto.html"},{"title":"Recommandations de l'ANSSI pour la mise en oeuvre d'une    politique de restrictions","url":"http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/recommandations-pour-la-mise-en-oeuvre-d-une-politique-de-restrictions.html"},{"title":"Note d'information du CERTA sur les bons r\u00e9flexes en cas    d'intrusion sur un syst\u00e8me d'information","url":"http://www.cert.ssi.gouv.fr/site/CERTA-2000-INF-002/index.html"},{"title":"Article de McAfee sur CTB Locker","url":"https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/25000/PD25696/en_US/McAfee_Labs_Threat_Advisory_CTB-Locker.pdf"}],"reference":"CERTFR-2015-ALE-003","revisions":[{"description":"version initiale ;","revision_date":"2015-02-05T00:00:00.000000"},{"description":"mise \u00e0 jour des recommandations.","revision_date":"2015-02-06T00:00:00.000000"},{"description":"fermeture de l'alerte.","revision_date":"2015-07-10T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 la disponibilit\u00e9 des fichiers apr\u00e8s chiffrement"}],"summary":"Depuis le d\u00e9but du mois de f\u00e9vrier 2015, le CERT-FR constate une\nnouvelle vague importante de compromissions de type ran\u00e7ongiciel, qui\nutilise cette fois principalement le programme malveillant appel\u00e9\nCTB-Locker.\n\nUn <span class=\"textbf\">ran\u00e7ongiciel</span> est un code malveillant qui\nchiffre les donn\u00e9es du poste compromis. Il va \u00e9galement cibler les\npartages de fichiers accessibles en \u00e9criture \u00e0 l'utilisateur dont la\nsession est compromise. \u00c0 travers une bo\u00eete de dialogue, la victime est\nensuite invit\u00e9e \u00e0 verser de l'argent afin de r\u00e9cup\u00e9rer la cl\u00e9 qui\npermettra de d\u00e9chiffrer les documents cibl\u00e9s (Bitcoin, Paypal, carte\nbleue). Il n'existe pas de moyens fiables pour r\u00e9cup\u00e9rer la cl\u00e9 utilis\u00e9e\npar le code malveillant.\n\nAttention, le CERT-FR tient \u00e0 souligner que le recouvrement des donn\u00e9es\napr\u00e8s paiement n'est en aucun cas garanti. Au-del\u00e0 du fait que cela\nencourage ce type d'attaque, le recours \u00e0 un moyen de paiement par carte\nbleue expose la victime \u00e0 des utilisations frauduleuses de celle-ci.\n\n## <span id=\"SECTION00041000000000000000\">M\u00e9thode d'attaque:</span>\n\nDans le cas pr\u00e9sent, la propagation constat\u00e9e repose sur une campagne\nd'hame\u00e7onnage. Les messages malveillants re\u00e7us pr\u00e9tendent \u00eatre\naccompagn\u00e9s d'un fax en pi\u00e8ce jointe, qui en r\u00e9alit\u00e9 est un programme\nmalveillant.\n\nCe code s'installe localement sur le poste par diff\u00e9rents moyens :\n\n-   fichier avec l'extension SCR ;\n-   fichier avec l'extension SCR compress\u00e9 dans un fichier au format zip\n    (parfois il s'agit de compressions imbriqu\u00e9es) ;\n-   fichier avec l'extension CAB ;\n-   fichiers ex\u00e9cutables classiques (.EXE).\n\nLe fichier avec l'extension SCR est un fichier ex\u00e9cutable : ce dernier\nt\u00e9l\u00e9charge ensuite le code malveillant r\u00e9alisant le chiffrement des\nfichiers.\n","title":"Nouvelle campagne d'hame\u00e7onnage de type ran\u00e7ongiciel","vendor_advisories":[]}