{"id":5427,"date":"2016-03-25T18:41:22","date_gmt":"2016-03-25T18:41:22","guid":{"rendered":"https:\/\/kasperskydaily.com\/france\/?p=5427"},"modified":"2020-02-26T15:53:42","modified_gmt":"2020-02-26T15:53:42","slug":"locky-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/locky-ransomware\/5427\/","title":{"rendered":"Le ransomware Tricky Locky pi\u00e8ge les h\u00f4pitaux am\u00e9ricains"},"content":{"rendered":"<p>M\u00e9decins et patients du monde entier, soyez prudents\u00a0! Les cybercriminels comptent un nouveau membre dans leur famille\u00a0! Malgr\u00e9 son jeune \u00e2ge, un ransomware \u00e2g\u00e9 d\u2019un mois a d\u00e9j\u00e0 crypt\u00e9 des fichiers dans deux h\u00f4pitaux am\u00e9ricains et rapport\u00e9 17 000$ \u00e0 ses cr\u00e9ateurs.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-7801\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2016\/03\/06093457\/locky-ransomware-featured.jpg\" alt=\"locky-ransomware-featured\" width=\"1280\" height=\"840\"><\/p>\n<p>\u00a0<\/p>\n<p>Ce \u00ab\u00a0b\u00e9b\u00e9\u00a0\u00bb a \u00e9t\u00e9 surnomm\u00e9 Locky, et a rapidement gagn\u00e9 en notori\u00e9t\u00e9 dans le monde entier peu apr\u00e8s sa naissance. La raison\u00a0? Il a <a href=\"https:\/\/threatpost.com\/locky-ransomware-borrows-tricks-from-dridex\/116304\/\" target=\"_blank\" rel=\"noopener nofollow\">infect\u00e9<\/a> des dossiers m\u00e9dicaux de l\u2019Hollywood Presbyterian Medical Center de Los Angeles. L\u2019h\u00f4pital s\u2019est en effet retrouv\u00e9 bloqu\u00e9 et s\u2019est vu finalement oblig\u00e9 de <a href=\"http:\/\/www.npr.org\/sections\/thetwo-way\/2016\/02\/17\/467149625\/la-hospital-pays-hackers-nearly-17-000-to-restore-computer-network\" target=\"_blank\" rel=\"noopener nofollow\">payer<\/a> 17 000$ pour r\u00e9cup\u00e9rer ses dossiers.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Locky?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Locky<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Ransomware<\/a> Borrows Tricks from Dridex via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"https:\/\/t.co\/4VRyAas6pY\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/4VRyAas6pY<\/a> <a href=\"https:\/\/t.co\/JO43afN7hq\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/JO43afN7hq<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/700427833781440512?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 18, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>La derni\u00e8re victime en date est le Methodist Hospital \u00e0 Henderson dans le Kentucky, \u00e9tablissement de soins g\u00e9n\u00e9raux d\u2019une capacit\u00e9 de 217 lits. Pour stopper l\u2019infection, l\u2019h\u00f4pital a d\u00fb \u00e9teindre tous les ordinateurs du r\u00e9seau. L\u2019administration hospitali\u00e8re est actuellement en train de collaborer avec le FBI et de v\u00e9rifier tous les dispositifs un par un qui seraient susceptibles d\u2019\u00eatre infect\u00e9s, certaines donn\u00e9es pouvant \u00eatre r\u00e9cup\u00e9r\u00e9es \u00e0 partir des sauvegardes. Contrairement \u00e0 l\u2019attaque de l\u2019h\u00f4pital pr\u00e9c\u00e9dent, la ran\u00e7on demand\u00e9e n\u2019\u00e9tait seulement que de 1600$. Cependant, les responsables du Methodist Hospital affirment que l\u2019argent ne sera d\u00e9bours\u00e9 que dans le pire des cas.<\/p>\n<p>https:\/\/twitter.com\/JGavin14News\/status\/711956381637726209<\/p>\n<p>Les aventures de Locky ont commenc\u00e9 par un mail, comme c\u2019est souvent le cas. Vendredi dernier, un employ\u00e9 de l\u2019h\u00f4pital a re\u00e7u un spam et a lanc\u00e9 la pi\u00e8ce jointe, qui \u00e0 son tour a t\u00e9l\u00e9charg\u00e9 un ransomware provenant du serveur des hackers, permettant \u00e0 Locky de se faufiler dans le r\u00e9seau. Le cheval de Troie a rapidement copi\u00e9 toutes les donn\u00e9es de l\u2019appareil vis\u00e9, les a ensuite crypt\u00e9es puis en a supprim\u00e9 les donn\u00e9es originales. Au m\u00eame instant, Locky avait commenc\u00e9 sa journ\u00e9e en infiltrant le r\u00e9seau interne de l\u2019h\u00f4pital. La seule fa\u00e7on de l\u2019arr\u00eater \u00e9tait de couper tous les ordinateurs.<\/p>\n<p>Auparavant, Locky avait \u00e9t\u00e9 ex\u00e9cut\u00e9 avec l\u2019aide de fichiers doc qui contenaient des scripts malveillants et qui t\u00e9l\u00e9chargeaient le cheval de Troie depuis des serveurs \u00e0 distance. Ce n\u2019est que plus tard que les coupables ont modifi\u00e9 leurs tactiques et ont remplac\u00e9 les archives zip par des scripts Java, qui t\u00e9l\u00e9chargeaient \u00e9galement le cheval de Troie depuis les serveurs des hackers qui le propageaient. La plupart des mails malveillants \u00e9taient \u00e9crits en anglais, bien qu\u2019il y avait aussi des mails \u00e9crits dans deux langues.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Hospitals?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Hospitals<\/a> are under attack\u2026 what's at risk? <a href=\"https:\/\/t.co\/b1WYjQgpfY\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/b1WYjQgpfY<\/a> via <a href=\"https:\/\/twitter.com\/61ack1ynx?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@61ack1ynx<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Infosec<\/a> <a href=\"https:\/\/t.co\/euuJ8041U0\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/euuJ8041U0<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/713003737187532800?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 24, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Selon Kaspersky Security Network, Locky attaque des utilisateurs pour la plupart en Allemagne, en France, au Kowe\u00eft, en Inde, en Afrique du Sud, aux Etats-Unis, en Italie, en Espagne et au Mexique. A notre connaissance, la Russie et les pays de la Communaut\u00e9 des \u00c9tats ind\u00e9pendants (CEI) ne sont pas concern\u00e9s par ce cheval de Troie.<\/p>\n<p>Il faut pr\u00e9ciser que Locky est un cheval de Troie tr\u00e8s \u00e9trange, \u00e9tant donn\u00e9 qu\u2019il recueille des statistiques d\u00e9taill\u00e9es concernant chaque victime, ce qui est vraiment peu commun pour un ransomware. Cet enthousiasme peut s\u2019expliquer par les int\u00e9r\u00eats financiers des coupables\u00a0: cette activit\u00e9 leur permet en effet de d\u00e9finir la valeur des fichiers crypt\u00e9s afin d\u2019\u00e9tablir une ran\u00e7on individuelle et en obtenir des profits cons\u00e9quents.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">10 tips to protect your files from ransomware <a href=\"https:\/\/t.co\/o0IpUU9CHb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/o0IpUU9CHb<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iteducation?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iteducation<\/a> <a href=\"https:\/\/t.co\/I47sPIiWFF\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/I47sPIiWFF<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/671348678607642624?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Il est peu probable que Locky ait \u00e9t\u00e9 cr\u00e9\u00e9 sp\u00e9cialement pour attaquer des institutions m\u00e9dicales. Les experts en s\u00e9curit\u00e9 <a href=\"https:\/\/threatpost.com\/locky-ransomware-causes-internal-state-of-emergency-at-kentucky-hospital\/116949\/\" target=\"_blank\" rel=\"noopener nofollow\">ont la certitude<\/a> que les hackers partiront \u00e0 la chasse des utilisateurs qui d\u00e9pendent \u00e9norm\u00e9ment de donn\u00e9es, tels que les avocats, le personnel m\u00e9dical, les architectes etc.<\/p>\n<p>En conclusion, nous aimerions vous informer que les solutions de Kaspersky Lab prot\u00e8gent les utilisateurs de Locky sur plusieurs niveaux de notre ligne de d\u00e9fense.<\/p>\n<ol>\n<li>Le module <strong><a href=\"https:\/\/www.kaspersky.fr\/blog\/kaspersky-anti-spam-protection\/4600\/\" target=\"_blank\" rel=\"noopener\">anti-spam<\/a>\u00a0<\/strong>d\u00e9tecte les mails malveillants envoy\u00e9s par les cybercriminels.<\/li>\n<\/ol>\n<ol start=\"2\">\n<li>Int\u00e9gr\u00e9 dans <strong>l\u2019email et le fichier antivirus<\/strong>, il d\u00e9tecte les scripts t\u00e9l\u00e9charg\u00e9s et pr\u00e9vient les utilisateurs. Nos solutions d\u00e9tectent les scripts tels que les chevaux de Troie Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent aet HEUR:Trojan-Downloader.Script.Generic.<\/li>\n<\/ol>\n<ol start=\"3\">\n<li>Le <strong>fichier antivirus<\/strong> reconnait le dossier ex\u00e9cutable et avertit l\u2019utilisateur que le cheval de Troie Trojan-Ransom.Win32. Locky a \u00e9t\u00e9 d\u00e9tect\u00e9.<\/li>\n<\/ol>\n<ol start=\"4\">\n<li>Le module <strong>System agent<\/strong> de <a href=\"https:\/\/www.kaspersky.fr\/multi-device-security?redef=1&amp;reseller=gl_KDpost_pro_ona_smm__onl_b2c_kasperskydaily_lnk____kismd___&amp;_ga=1.257379138.838268831.1450706896\" target=\"_blank\" rel=\"noopener\">Kaspersky Internet Security<\/a> sera m\u00eame en mesure de trouver des \u00e9chantillons du ransomware Locky et informera ainsi l\u2019utilisateur que le cheval de Troie PDM:Trojan.Win32.Generic a \u00e9t\u00e9 d\u00e9cel\u00e9. Il emp\u00eachera \u00e9galement le cheval de Troie de crypter les fichiers sur votre disque dur. En ce sens, aucun ransomware ne pourra voler ou bloquer vos donn\u00e9es et vous demander de l\u2019argent en contrepartie.<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Le tout nouveau ransomware Locky a crypt\u00e9 les donn\u00e9es des patients dans deux h\u00f4pitaux des Etats-Unis. Explication de ce nouveau dilemme et comment en venir \u00e0 bout. <\/p>\n","protected":false},"author":522,"featured_media":5428,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[118,141,1460,1110,353,61],"class_list":{"0":"post-5427","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-donnees","9":"tag-kaspersky-internet-security","10":"tag-locky","11":"tag-medecine","12":"tag-ransomware","13":"tag-securite"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/locky-ransomware\/5427\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/locky-ransomware\/5373\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/locky-ransomware\/3769\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/locky-ransomware\/6916\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/locky-ransomware\/6884\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/locky-ransomware\/8015\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/locky-ransomware\/7800\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/locky-ransomware\/11382\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/locky-ransomware\/11667\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/locky-ransomware\/6121\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/locky-ransomware\/7295\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/locky-ransomware\/10849\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/locky-ransomware\/11382\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/locky-ransomware\/11667\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/locky-ransomware\/11667\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/donnees\/","name":"donn\u00e9es"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/5427","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/522"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=5427"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/5427\/revisions"}],"predecessor-version":[{"id":14323,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/5427\/revisions\/14323"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/5428"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=5427"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=5427"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=5427"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}