{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tous les syst\u00e8mes d'exploitations Windows peuvent \u00eatre  victimes de ce logiciel malveillant.</P>","closed_at":"2016-11-17","content":"## Solution\n\n## Mesures pr\u00e9ventives\n\nLe CERT-FR recommande de sensibiliser les utilisateurs aux risques\nassoci\u00e9s aux messages \u00e9lectroniques pour \u00e9viter l'ouverture de pi\u00e8ces\njointes. Il convient en effet de ne pas cliquer sans v\u00e9rification\npr\u00e9alable sur les liens de messages et les pi\u00e8ces jointes. Les\nutilisateurs ne doivent pas ouvrir des messages \u00e9lectroniques de\nprovenance inconnue, d'apparence inhabituelle ou frauduleuse. Plus\ng\u00e9n\u00e9ralement, il convient de mettre \u00e0 jour les postes utilisateurs,\nnotamment le syst\u00e8me d'exploitation et les applications expos\u00e9es sur\nInternet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans\nle cas o\u00f9 le code malveillant (ou une variante) exploiterait une\nvuln\u00e9rabilit\u00e9 logicielle.\n\nLe CERT-FR recommande de configurer sur les postes de travail les\nrestrictions logicielles pour emp\u00eacher l'ex\u00e9cution de code \u00e0 partir\nd'une liste noire de r\u00e9pertoires :\n\n-   Si la solution utilis\u00e9e est AppLocker, les r\u00e8gles de blocage\n    suivantes doivent \u00eatre d\u00e9finies :\n    -   OSDRIVE\\\\Users\\\\\\*\\\\AppData\\\\\n    -   OSDRIVE\\\\Windows\\\\Temp\\\\\n-   Si les restrictions logicielles (SRP) sont utilis\u00e9es, les r\u00e8gles de\n    blocage suivantes doivent \u00eatre d\u00e9finies :\n    -   UserProfile\\\\AppData\n    -   SystemRoot\\\\Temp\n\nIl est important de v\u00e9rifier que le service \"Application Identity\"\n(AppIDSvc) est param\u00e9tr\u00e9 en d\u00e9marrage automatique sur l'ensemble des\npostes pour que les restrictions logicielles soient op\u00e9rantes (ce mode\nde d\u00e9marrage peut \u00eatre param\u00e9tr\u00e9 \u00e0 travers une politique de groupe sur\nle domaine Windows). Si des dysfonctionnements sont rencontr\u00e9s suite au\nd\u00e9ploiement de ces r\u00e8gles de blocage, il est n\u00e9cessaire d'identifier les\napplications l\u00e9gitimes situ\u00e9es dans ces r\u00e9pertoires, et de d\u00e9finir des\nr\u00e8gles en liste blanche afin d'autoriser leur ex\u00e9cution.\n\nLe CERT-FR recommande \u00e9galement de mettre \u00e0 jour les logiciels antivirus\ndu parc informatique (postes utilisateurs, passerelle de messagerie,\netc.). Le code malveillant \u00e9tant polymorphe, les \u00e9diteurs antivirus ont\nbesoin de publier des signatures en constante \u00e9volution. Par ailleurs,\nil convient d'envoyer d\u00e8s que possible un exemplaire du code malveillant\n\u00e0 votre \u00e9diteur de logiciel antivirus si la variante n'est pas d\u00e9tect\u00e9e\npar ce dernier.\n\nEnfin, le CERT-FR recommande d'effectuer des sauvegardes saines et\nr\u00e9guli\u00e8res des syst\u00e8mes et des donn\u00e9es (postes de travail, serveurs)\npuis de v\u00e9rifier qu'elles se sont correctement d\u00e9roul\u00e9es. Les\nsauvegardes ant\u00e9rieures ne doivent pas \u00eatre \u00e9cras\u00e9es (cas o\u00f9 une version\nchiffr\u00e9e aurait \u00e9t\u00e9 sauvegard\u00e9e). Les sauvegardes doivent \u00eatre r\u00e9alis\u00e9es\nen priorit\u00e9 sur les serveurs h\u00e9bergeant des donn\u00e9es critiques pour le\nfonctionnement de l'entit\u00e9. Celles-ci doivent \u00eatre stock\u00e9es sur des\nsupports de donn\u00e9es isol\u00e9s du r\u00e9seau en production.\n\n## Mesures r\u00e9actives\n\nSi le code malveillant est d\u00e9couvert sur vos syst\u00e8mes, le CERT-FR\nrecommande de d\u00e9connecter imm\u00e9diatement du r\u00e9seau les machines\nidentifi\u00e9es comme compromises. L'objectif est de bloquer la poursuite du\nchiffrement et la destruction des documents partag\u00e9s. Le CERT-FR\nrecommande aussi d'alerter le responsable s\u00e9curit\u00e9 ou le service\ninformatique au plus t\u00f4t. Le temps de revenir \u00e0 une situation normale,\nle CERT-FR recommande \u00e9galement de positionner les permissions des\ndossiers partag\u00e9s en LECTURE SEULE afin d'emp\u00eacher la destruction des\nfichiers sur les partages. Les personnels pourront continuer de\ntravailler localement et mettre \u00e0 jour ult\u00e9rieurement le partage. Aussi,\nle CERT-FR recommande de prendre le temps de sauvegarder les fichiers\nimportants sur des supports de donn\u00e9es isol\u00e9s. Ces fichiers peuvent \u00eatre\nalt\u00e9r\u00e9s ou encore \u00eatre infect\u00e9s. Il convient donc de les traiter comme\ntels. De plus, les sauvegardes ant\u00e9rieures doivent \u00eatre pr\u00e9serv\u00e9es\nd'\u00e9crasement par des sauvegardes plus r\u00e9centes.\n\nLe CERT-FR recommande \u00e9galement de bloquer sur le serveur mandataire\nl'acc\u00e8s aux domaines ou URLs identifi\u00e9s dans le message malveillant.\nL'objectif est de pr\u00e9venir toute nouvelle compromission sur le m\u00eame\nsite. En compl\u00e9ment, le CERT-FR recommande de rechercher et supprimer\nles messages malveillants similaires dans les bo\u00eetes de messagerie des\nutilisateurs. Par ailleurs, le CERT-FR recommande la r\u00e9installation\ncompl\u00e8te du poste et la restauration d'une sauvegarde r\u00e9put\u00e9e saine des\ndonn\u00e9es de l'utilisateur. De plus, dans le cadre de l'utilisation de\nprofils itin\u00e9rants, il convient de supprimer la copie serveur du profil\nafin de pr\u00e9venir la propagation des codes malveillants par ce biais.\n\nEnfin, les fichiers chiffr\u00e9s peuvent \u00eatre conserv\u00e9s par la victime au\ncas o\u00f9 dans le futur, un moyen de recouvrement des donn\u00e9es originales\nserait d\u00e9couvert.\n\nCette alerte sera maintenue tant que le volume de message \u00e9lectronique\nconstat\u00e9 sera consid\u00e9r\u00e9 significatif par le CERT-FR.\n","cves":[],"links":[],"reference":"CERTFR-2016-ALE-006","revisions":[{"description":"version initiale ;","revision_date":"2016-09-05T00:00:00.000000"},{"description":"ajout marqueurs suppl\u00e9mentaires ;","revision_date":"2016-09-07T00:00:00.000000"},{"description":"ajout marqueurs suppl\u00e9mentaires ;","revision_date":"2016-09-30T00:00:00.000000"},{"description":"ajout marqueurs suppl\u00e9mentaires ;","revision_date":"2016-10-03T00:00:00.000000"},{"description":"ajout marqueurs suppl\u00e9mentaires ;","revision_date":"2016-10-05T00:00:00.000000"},{"description":"ajout marqueurs suppl\u00e9mentaires ;","revision_date":"2016-10-12T00:00:00.000000"},{"description":"ajout marqueurs suppl\u00e9mentaires ;","revision_date":"2016-10-24T00:00:00.000000"},{"description":"ajout marqueurs suppl\u00e9mentaires ;","revision_date":"2016-10-27T00:00:00.000000"},{"description":"cl\u00f4ture de l'alerte ;","revision_date":"2016-11-17T00:00:00.000000"}],"risks":[{"description":"Installation d'un logiciel malveillant de type zepto/odin"}],"summary":"Marqueurs de t\u00e9l\u00e9chargement de charge mis \u00e0 jour le 27/10/2016.\n\n##### <span id=\"SECTION00040001000000000000\">Mise \u00e0 jour du 27/10/2016</span>\n\nLe CERT-FR constate une nouvelle campagne de courriels malveillants\ncontenant des pi\u00e8ces jointes au format ZIP. L'archive contient un\nfichier de type JSE (Javascript Encode) ou WSF (Windows Script File)\nvisant \u00e0 t\u00e9l\u00e9charger une variante de Locky. Cette variante chiffre les\nfichiers de la machine et utilise l'extension .shit.\n\n##### <span id=\"SECTION00040002000000000000\">Mise \u00e0 jour du 24/10/2016</span>\n\nLe CERTFR constate une nouvelle campagne de mails contenant des pi\u00e8ces\njointes .hta malveillantes en cours. Ces pi\u00e8ces jointes correspondent \u00e0\ndes fichiers html contenant du code Javascript t\u00e9l\u00e9chargeant le\nran\u00e7ongiciel.\n\n##### <span id=\"SECTION00040003000000000000\">Mise \u00e0 jour du 30/09/2016</span>\n\nLe CERTFR constate une nouvelle vague de mails contenant des pi\u00e8ces\njointes malveillantes en cours. Ces pi\u00e8ces jointes sont des documents\noffice contenant une macro VBA t\u00e9l\u00e9chargeant le ran\u00e7ongiciel Zepto.\nL'extension utilis\u00e9e par le ran\u00e7ongiciel a chang\u00e9e depuis la derni\u00e8re\nvague pour devenir .odin. La liste des urls de t\u00e9l\u00e9chargement de charge\nest mise \u00e0 jour.\n\nDepuis le d\u00e9but septembre 2016, le CERT-FR constate \u00e0 l'\u00e9chelle\nnationale une vague de pourriels dont le taux de blocage par les\npasserelles anti-pourriel est relativement faible. Ces pourriels ont\npour objectif la diffusion du ran\u00e7ongiciel Zepto.\n\nUn ran\u00e7ongiciel est un programme malveillant qui chiffre les donn\u00e9es du\nposte compromis. Il va \u00e9galement cibler les partages de fichiers\naccessibles depuis le compte utilisateur dont la session est compromise.\nCelui-ci est ex\u00e9cut\u00e9, dans le cas pr\u00e9sent, par une action de\nl'utilisateur. La victime est ensuite invit\u00e9e \u00e0 verser de l'argent afin\nque l'attaquant d\u00e9chiffre les fichiers cibl\u00e9s.\n\nDans le cadre de cette campagne, et d'apr\u00e8s les \u00e9chantillons que le\nCERT-FR a observ\u00e9s, la diffusion de Zepto s'effectue par l'interm\u00e9diaire\nd'un pourriel contenant une archive. Cette archive contient un script\nWindows (extension .wsf) executant du Javascript. Le Javascript va\nensuite contacter un domaine pour r\u00e9cup\u00e9rer le Ran\u00e7ongiciel Zepto.\n\n\u00c0 l'aide les \u00e9chantillons remont\u00e9s, le CERT-FR a constat\u00e9 que les URLs\nde t\u00e9l\u00e9chargement du binaire Zepto sont les suivantes :\n\n##### <span id=\"SECTION00040004000000000000\">T\u00e9l\u00e9chargement de charge au 27/10/2016</span>\n\nURI de distribution de charge observ\u00e9e:\n\n    /t67bg\n    /t76f3g\n\nDomaines distributeur de charge (point d'eau, site l\u00e9gitime compromis):\n\n    pkastrologer.com_BAD_\n    redsrev.com_BAD_\n    lancasternewcity.com.ph_BAD_\n    samspizzapasta.com_BAD_\n\nDomaine distributeur de charge:\n\n    duplespry.net_BAD_\n    arzunyolk.com _BAD_\n\n##### <span id=\"SECTION00040005000000000000\">T\u00e9l\u00e9chargement de charge au 24/10/2016</span>\n\nURI obbserv\u00e9e:\n\n    /076wc\n\nDomaines observ\u00e9s:\n\n    3ainstrument.com._BAD_\n    abulhoul.ae._BAD_\n    bagnet.ir._BAD_\n    beyondhorizon.net._BAD_\n    castoncorporateadvisory.in._BAD_\n    checkimage.comuf.com._BAD_\n    cignitech.com._BAD_\n    cygnatech.com._BAD_\n    cynosurejobs.net._BAD_\n    dolphinom.com._BAD_\n    grupoecointerpreis.com._BAD_\n    hotel.comxa.com._BAD_\n    icclicks.com._BAD_\n    jhandiecohut.com._BAD_\n    ledenergythai.com._BAD_\n    naacllc.com._BAD_\n    nanrangy.net._BAD_\n    olpharm.com._BAD_\n    punjabipollywood.com._BAD_\n    sowkinah.com._BAD_\n    stock.comuf.com._BAD_\n    thaitooling.net._BAD_\n    wamasoftware.com._BAD_\n    wkreation.com._BAD_\n    www.jhandiecohut.com._BAD_\n    www.pspgemencheh.edu.my._BAD_\n    www.pspmrsmtumpat.com._BAD_\n    www.rawahyl.com._BAD_\n\n##### <span id=\"SECTION00040006000000000000\">T\u00e9l\u00e9chargement de charge au 12/10/2016</span>\n\nURI observ\u00e9e:\n\n    /d5436gh\n\nDomaines observ\u00e9s :\n\n    eaglemouth.org_BAD_\n    dabihfluky.com_BAD_\n\n##### <span id=\"SECTION00040007000000000000\">T\u00e9l\u00e9chargement de charge au 03/10/2016</span>\n\nURIs observ\u00e9es :\n\n    \\jhg45s\n\nDomaines observ\u00e9s :\n\n    acaciainvest.ro_BAD_\n    alraysa.com_BAD_\n    anthonycarducci.lawyerpublicity.com_BAD_\n    antiquescollectablesandjuststuff.com_BAD_\n    atronis.com_BAD_\n    bluewaterappco.com_BAD_\n    boservice.info_BAD_\n    catlong.com_BAD_\n    cedrussauna.com_BAD_\n    craftsreviews.com_BAD_\n    crossroadspd.com_BAD_\n    denvertracy.com_BAD_\n    dickenshandchimes.com_BAD_\n    dotcom-enterprises.com_BAD_\n    eidshow.com_BAD_\n    far-infraredsaunas.com_BAD_\n    foe-2.com_BAD_\n    gcandcbuilderssite.aaomg.com_BAD_\n    golfnauvoo.com_BAD_\n    hostmyimage.biz_BAD_\n    icdsarch.com_BAD_\n    ifsaiumumi.com_BAD_\n    inmopromo.com_BAD_\n    lesscellantshautegamme.ca_BAD_\n    maxleather.aaomg.com_BAD_\n    mmm2.aaomg.com_BAD_\n    monkeysdragon.net_BAD_\n    msurf.net_BAD_\n    new2.aaomg.com_BAD_\n    nonprofitbenefit.com_BAD_\n    nutrahacks.com_BAD_\n    orhangazitur.com_BAD_\n    parkerneem.com_BAD_\n    real-corp.info_BAD_\n    saunacushions.com_BAD_\n    slicktalk.net_BAD_\n    test.cedrussauna.net_BAD_\n    tsukasagiku.com_BAD_\n    villadiana.lv_BAD_\n    webhost911.com_BAD_\n\n##### <span id=\"SECTION00040008000000000000\">T\u00e9l\u00e9chargement de charge au 30/09/2016</span>\n\nURIs observ\u00e9es :\n\n    \\021ygs7\n    \\bdb37\n    \\g76ub76\n\nDomaines observ\u00e9s :\n\n    0735home.com_BAD_\n    1maximus.ru_BAD_\n    368lx.com_BAD_\n    81millstreet.nl_BAD_\n    alliswelltour.com_BAD_\n    americanfancies.com_BAD_\n    amerikanservisi.com_BAD_\n    ampconnect.com_BAD_\n    anhsaodem.info_BAD_\n    aquatixbottle.com_BAD_\n    arbeit-von-zuhause.com_BAD_\n    askmeproperties.com_BAD_\n    atstory.com_BAD_\n    badminton2008.com_BAD_\n    bandbcreuse.com_BAD_\n    bdfxb.com_BAD_\n    beineinu.org_BAD_\n    birthstory.com_BAD_\n    brioconseils.com_BAD_\n    cafe-bg.com_BAD_\n    chchqq.com_BAD_\n    cmcomunicacion.es_BAD_\n    dedivan.ru_BAD_\n    delphinph.com_BAD_\n    demo.website.pl_BAD_\n    dfl210.ru_BAD_\n    ecoledesalsa.com_BAD_\n    econopaginas.com_BAD_\n    gadget24.ro_BAD_\n    game6media.com_BAD_\n    globalremoteservices.com_BAD_\n    gomelnaushnik.com_BAD_\n    hollywoodjesus.com_BAD_\n    ingpors.sk_BAD_\n    innogenap.com_BAD_\n    juyinggroup.com_BAD_\n    kashira.potolki.bz_BAD_\n    kelownatownhomes.com_BAD_\n    kolonker.com_BAD_\n    mahboob-e-rehmani.com_BAD_\n    nokianshop.com_BAD_\n    opmsk.ru_BAD_\n    parroquiansg.org_BAD_\n    pecschool.com_BAD_\n    purebanquet.com_BAD_\n    rikuzentakata-mpf.org_BAD_\n    rutlandhall.com_BAD_\n    slaterarts.com_BAD_\n    smokintech.com_BAD_\n    sonajp.com_BAD_\n    sotorentals.com_BAD_\n    studiorif.ru_BAD_\n    techsilicon.com_BAD_\n    teothemes.com_BAD_\n    travelinsider.com.au_BAD_\n    travicoperu.com_BAD_\n    undiaem.com_BAD_\n    unionathletica.com_BAD_\n    veganvet.net_BAD_\n    victorcasino.com_BAD_\n    w3hostingserver.com_BAD_\n    werix.sk_BAD_\n    www.sikharaprojects.com_BAD_\n    zdiaran.sk_BAD_\n\n##### <span id=\"SECTION00040009000000000000\">T\u00e9l\u00e9chargement de charge au 07/09/2016</span>\n\n    around4percent.web.fc2.com_BAD_/j8fn3rg3\n    bostoncittyregenerww.com_BAD_/js/j8fn3rg3\n    kreativmanagement.homepage.t-online.de_BAD_/j8fn3rg3\n    marcotormento.de_BAD_/j8fn3rg3\n    maxshoppppsr.biz_BAD_/js/vf3gt4b4\n    michik.web.fc2.com_BAD_/j8fn3rg3\n    news.oboyle.ro_BAD_/myeyuum\n    sp-moto.ru_BAD_/j8fn3rg3\n    unimet.tmhandel.com_BAD_/j8fn3rg3\n    www.hestia-bewindvoering.nl_BAD_/j8fn3rg3\n    www.montegelato.it_BAD_/j8fn3rg3\n    www.termoalbiate.com_BAD_/uwmakrm\n    www.vilastefania.go.ro_BAD_/j8fn3rg3\n\nServeurs de Commande et de Contr\u00f4le au 07/09/2016 Selon nos analyses,\nles domaines sont g\u00e9n\u00e9r\u00e9s al\u00e9atoirement. Aucun domaine pertinent n'est\npour l'instant disponible.\n\nLes IPs suivantes sont susceptibles d'\u00eatre contact\u00e9es comme CnC et\npeuvent \u00eatre ajout\u00e9es en liste noire :\n\n    212.109.192.235\n    149.154.152.108\n\nL'uri suivante semble stable. Elle peut servir de marqueur lors d'une\ninvestigation mais ne doit pas \u00eatre mise en liste noire au risque de\ng\u00e9n\u00e9rer beaucoup de faux positifs.\n\n    /data/info.php\n","title":"Campagne de messages \u00e9lectroniques non sollicit\u00e9s de type Zepto/Odin","vendor_advisories":[]}