La plupart des spécialistes de sécurité s’accordent à penser que depuis quelques mois et cela a été le cas avec l’ « épidémie » Locky, qui a fait énormément de victimes, l’infection par ransomware passe « volontiers » par un bon vieux fichier WSF (Windows Script File), qui existe depuis des lustres, interprété par le « Windows Script Host » de la machine.

WSF est en fait un  container XML, un fichier texte par conséquent, qui embarque du code script, indépendamment du langage, du VBScript, du Perl, etc. De ce fait, si le code script a une action néfaste, le téléchargement d’un malware, par exemple, il servira involontairement de véhicule à son déploiement.

C’est bien ce qui s’est passé avec Locky, un process qui est en train de se répandre et plus précisément dans les ransomwares, cette « joyeuseté », qui chiffre le contenu de nos machines, sans grand espoir de les récupérer « sains et saufs », sauf en s’acquittant de la rançon demandée.

Ce sont surtout les chercheurs de Symantec qui ont noté cette tendance, les pirates bénéficiant du fait que la plupart du temps ce type de fichier s’exécute automatiquement et avec lui les codes scripts, si les langages eux-mêmes n’ont pas été bloqués.

C’est ce constat qu’ont aussi fait les criminels, malheureusement.

Les chercheurs de Symantec affirment avoir intercepté 22 000 mails contenant des fichiers .wsf « malicieux » en juin 2016, chiffre qui a été multiplié par 10 le mois suivant, soit plus de 2 millions de mails malencontreux. Les chiffres s’étant ensuite stabilisés autour des 2 millions de courriels infectés chaque mois.

Source : Symantec

C’est le ransomware Locky qui a été le plus « actif », qui en moins de 2 jours a infecté plus d’1,3 million de mails portant sur le sujet « Travel Itinerary », Locky invitant les destinataires à ouvrir un fichier .zip, censé contenir des informations sur un voyage projeté, contenant en réalité le fameux fichier .WSF, qui à l’exécution installait Locky pour chiffrer le contenu de la machine victime.

D’autres motifs ont été utilisés, la notification de l’envoi d’un fichier vocal, par exemple, l’important étant que l’usager clique sur le fichier attaché, dont l’extension affichée ne correspond évidemment pas à celle du WSF.

La seule solution est donc de bloquer l’exécution automatique des WSF, de même que celle des langages tels que VBScript, qu’il est susceptible de contenir. Sauf que l’on ne peut pas tout bloquer et qu’à ce petit jeu, on arrivera au même résultat  de non utilisation de notre machine, qu’avec un malware.

La situation est très délicate, car ce genre d’initiative va se multiplier, les criminels étant aiguillonnés par l’appât du gain facile, certains observateurs estimant, mais cela nous semble très peu, que les ransomwares à eux-seuls, ont représenté un chiffre d’affaires d’1 milliard $ pour les 12 derniers mois.

Le vrai problème et nous avons souvent insisté sur ce point, ce sont les protocoles Internet qui manquent de robustesse. Et on aura beau trouver des parades à la multitude d’attaques qui nous attendent, ce sont les SMTP,HTTP, DNS, etc, qu’il faudrait revoir de fond en comble. Mais ça, on n’est pas près de le faire.