{
	"id": "0c8128f0-8b0c-4fc1-bf2a-6b7ac9485a44",
	"created_at": "2026-04-06T00:22:33.420508Z",
	"updated_at": "2026-04-10T13:11:34.275659Z",
	"deleted_at": null,
	"sha1_hash": "dc5e3a920e0367d3ab75a7119ad42bdcb8710172",
	"title": "Campagne de messages électroniques non sollicités de type Locky Locker",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 46590,
	"plain_text": "Campagne de messages électroniques non sollicités de type Locky\r\nLocker\r\nArchived: 2026-04-05 22:00:32 UTC\r\nBulletin d'alerte du CERT-FR\r\nUne gestion de version détaillée se trouve à la fin de ce document.\r\nRisque\r\nInstallation d'un logiciel malveillant de type locky\r\nSystèmes affectés\r\nTous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.\r\nRésumé\r\nDepuis la fin juillet 2018, le CERT-FR constate une nouvelle campagne de courriels distribuant le rançongiciel\r\nLocky touchant actuellement la France. Les messages sont accompagnés d'un lien hypertexte encourageant à\r\ntélécharger la facture d'une commande. Le taux de blocage par les passerelles anti-pourriel est relativement faible.\r\nUn rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler\r\nles partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est\r\nexécuté, dans le cas présent, par une action de l'utilisateur. La victime est ensuite invitée à verser de l'argent afin\r\nque l'attaquant déchiffre les fichiers ciblés.\r\nDans le cadre de cette campagne, et d'après les échantillons que le CERT-FR a observés, la diffusion de Locky\r\nLocker s'effectue par l'intermédiaire d'un pourriel dans lequel se trouve un lien pour télécharger une facture. La\r\nfacture téléchargée est une archive zip dans une autre archive zip contenant un exécutable.\r\nDans les échantillions que le CERT-FR a pu observé, l'objet du message est \"Nous avons reçu votre paiement.\".\r\nLe corps du message se présente sous la forme suivante:\r\n************************************\r\nMadame, Monsieur,\r\nhttps://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-008/\r\nPage 1 of 3\n\nNous vous notifions que votre commande du XX/XX/2018 d'un montant de\r\nXXX€ a bien été enregistrée.\r\nLe contenu de votre commande est détaillé dans la facture téléchargeable\r\nen cliquant ici\r\nTout changement sur l'état de votre commande (préparation, expédition,\r\netc.) vous sera automatiquement et immédiatement notifié par email.\r\nL'expédition du produit aura lieu 24 heures au plus après le passage à\r\nl'état \"validé\" de votre demande.\r\nToute commande qui nous parvient incomplète demande des délais de\r\ntraitement supplémentaires dont nous ne saurions être tenus responsables.\r\n************************************\r\nNoms de domaines liés au téléchargement de Locky Locker:\r\nhxxp://centredentairenantes[.]fr_BAD/wp-system.php\r\nhxxps://savigneuxcom.securesitefr[.]com_BAD/client.php?fac=001838274191030\r\nSolution\r\nMesures préventives\r\nLe CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour\r\néviter l'ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de\r\nmessages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance\r\ninconnue, d'apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes\r\nutilisateurs, notamment le système d'exploitation et les applications exposées sur Internet (lecteur PDF, lecteur\r\nmessagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une\r\nvulnérabilité logicielle.\r\nLe CERT-FR recommande également de mettre à jour les logiciels antivirus du parc informatique (postes\r\nutilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin\r\nde publier des signatures en constante évolution. Par ailleurs, il convient d'envoyer dès que possible un exemplaire\r\ndu code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier.\r\nEnfin, le CERT-FR recommande d'effectuer des sauvegardes saines et régulières des systèmes et des données\r\n(postes de travail, serveurs) puis de vérifier qu'elles se sont correctement déroulées. Les sauvegardes antérieures\r\nne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être\r\nréalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l'entité. Celles-ci\r\ndoivent être stockées sur des supports de données isolés du réseau en production.\r\nMesures réactives\r\nSi le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement\r\ndu réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la\r\nhttps://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-008/\r\nPage 2 of 3\n\ndestruction des documents partagés. Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service\r\ninformatique au plus tôt. Le temps de revenir à une situation normale, le CERT-FR recommande également de\r\npositionner les permissions des dossiers partagés en LECTURE SEULE afin d'empêcher la destruction des\r\nfichiers sur les partages. Les personnels pourront continuer de travailler localement et mettre à jour ultérieurement\r\nle partage. Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des\r\nsupports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter\r\ncomme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus\r\nrécentes.\r\nLe CERT-FR recommande également de bloquer sur le serveur mandataire l'accès aux domaines ou URLs\r\nidentifiés dans le message malveillant. L'objectif est de prévenir toute nouvelle compromission sur le même site.\r\nEn complément, le CERT-FR recommande de rechercher et supprimer les messages malveillants similaires dans\r\nles boîtes de messagerie des utilisateurs. Par ailleurs, le CERT-FR recommande la réinstallation complète du poste\r\net la restauration d'une sauvegarde réputée saine des données de l'utilisateur. De plus, dans le cadre de l'utilisation\r\nde profils itinérants, il convient de supprimer la copie serveur du profil afin de prévenir la propagation des codes\r\nmalveillants par ce biais.\r\nEnfin, les fichiers chiffrés peuvent être conservés par la victime au cas où dans le futur, un moyen de\r\nrecouvrement des données originales serait découvert.\r\nGestion détaillée du document\r\nle 03 août 2018\r\nVersion initiale\r\nle 09 août 2018\r\nCorrection d'inexactitudes dans l'objet du courriel de hameçonnage et dans le protocole de l'url\r\ncontenant savigneuxcom.securesitefr[.]com\r\nle 10 octobre 2018\r\nClôture de l'alerte.\r\nSource: https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-008/\r\nhttps://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-008/\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "FR",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-008/"
	],
	"report_names": [
		"CERTFR-2018-ALE-008"
	],
	"threat_actors": [],
	"ts_created_at": 1775434953,
	"ts_updated_at": 1775826694,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/dc5e3a920e0367d3ab75a7119ad42bdcb8710172.pdf",
		"text": "https://archive.orkl.eu/dc5e3a920e0367d3ab75a7119ad42bdcb8710172.txt",
		"img": "https://archive.orkl.eu/dc5e3a920e0367d3ab75a7119ad42bdcb8710172.jpg"
	}
}