Securitate

Noua dvs. amenințare de securitate pentru Romsomware JavaScript 2016

Noua dvs. amenințare de securitate pentru Romsomware JavaScript 2016 / Securitate

Atunci când noile exemple ale ransomware-ului locky distribuit pe scară largă au început să se usuce la sfârșitul lunii mai 2016, cercetătorii în domeniul securității erau siguri că nu am văzut ultima varianta malware de criptare a fișierelor.

Iată și au avut dreptate.

Din 19 iunielea experții în securitate au observat că milioane de mesaje de e-mail malware au fost trimise cu un atașament care conținea o nouă variantă a ransomware-ului Locky. Evoluția pare să fi făcut malware-ul mult mai periculos Dincolo de computer: 5 moduri de Ransomware vă va lua captiv în viitorul dincolo de calculator: 5 moduri de Ransomware vă va lua captiv în viitor Ransomware este probabil cea mai nasol malware acolo și criminalii care o folosesc devin din ce în ce mai avansați. Iată cinci lucruri îngrijorătoare care ar putea fi luate ostatic în curând, inclusiv case inteligente și mașini inteligente. Citiți mai multe și sunt însoțite de o tactică de distribuție modificată, răspândind infecția mai mult decât sa văzut anterior.

Nu numai cercetătorii de securitate din Locky ransomware sunt îngrijorători. Au existat deja alte variante ale lui Locky și se pare că rețelele de distribuție se dezvoltă “producere” de-a lungul globului, fără ținte în minte.

Ransomware JavaScript

2016 a văzut o ușoară schimbare în distribuția malware-ului Nu scăpați din greșeală de escrocii: Un ghid pentru Ransomware și alte amenințări Nu scăpați de defectul escrocilor: Un ghid pentru Ransomware și alte amenințări Citiți mai multe. Utilizatorii de Internet pot doar să înceapă să înțeleagă pericolul extrem de periculos, dar acesta a început deja să evolueze, pentru a rămâne cât mai mult timp sub radar.

Și în timp ce programele malware care folosesc cadre JavaScript bine cunoscute nu sunt neobișnuite, profesioniștii din domeniul securității au fost copleșiți de un potop de malware în primul trimestru din 2016, ducând la Eldon Sprickerhoff:

“Evoluția malware-ului pare a fi la fel de rapidă și cutthroat ca orice mediu junglă, în cazul în care supraviețuirea și propagarea merge mână în mână. Autori au cooptat în mod frecvent funcționalitatea de la diferite tulpini malware în următoarea generație de coduri - eșantionând în mod regulat eficacitatea și rentabilitatea fiecărei generații.”

Apariția ransomware-ului codificat în JavaScript reprezintă o nouă provocare pentru utilizatorii care încearcă să evite. Anterior, dacă ați descărcat accidental sau ați trimis un fișier rău intenționat, Windows va scana extensia de fișier și va decide dacă acest tip particular de fișier reprezintă sau nu un pericol pentru sistemul dvs..

De exemplu, atunci când încercați să rulați un necunoscut .executabil fișier, veți întâlni acest avertisment:

Nu există nici un avertisment implicit cu JavaScript - .js extensia de fișiere - fișiere, ceea ce a dus la un număr mare de utilizatori care au făcut clic fără să se gândească, apoi au fost deținuți pentru răscumpărare.

Botnets și Email Spam

Marea majoritate a ransomware-ului este trimis prin e-mail-uri rău intenționate, care, la rândul lor, sunt trimise în cantități imense prin intermediul unor rețele masive de computere infectate, denumite în mod obișnuit ca “botnet.”

Creșterea uriasă a locky ransomware a fost legată direct de botnetul Necrus, care a înregistrat o medie de 50.000 Adresele IP infectate la fiecare 24 de ore timp de câteva luni. În timpul observării (de către Anubis Networks), ratele de infecție au rămas stabile, până în 28 martielea când a existat o creștere puternică, ajungând 650000 infecții pe o perioadă de 24 de ore. Apoi, înapoi la afaceri ca în mod normal, deși cu o rată lentă a infecției.

La 1 iunieSf, Necrus a tăcut. Speculațiile cu privire la motivul pentru care botnet-ul a fost liniștit este subțire, deși mult centrat în jurul arestării a aproximativ 50 de hackeri ruși. Cu toate acestea, botnet a reluat activitatea mai târziu în lună (în jurul valorii de 19lea Iunie), trimiterea noii variante Locky la milioane de potențiale victime. Puteți vedea răspândirea curentă a botnet-ului Necrus în imaginea de mai sus - rețineți cum evită Rusia?

E-mailurile spam conțin întotdeauna un atașament, care se pretinde a fi un document important sau o arhivă trimisă dintr-un cont de încredere (dar falsificat). Odată ce documentul este descărcat și accesat, va rula automat o macrocomandă infectată sau un alt script malware, iar procesul de criptare începe.

Fie că este vorba despre Locky, Dridex, CryptoLocker, sau una dintre nenumăratele variante de rromi de virusi, spyware, malware etc. Explicat: Înțelegerea virușilor virușilor, a programelor spyware, a malware-ului etc. Explicat: Înțelegerea amenințărilor online Când începeți să vă gândiți la toate lucrurile ar putea merge prost atunci când navigați pe Internet, web-ul începe să pară un loc destul de înfricoșător. Citește mai mult, e-mailurile cu mesaje spam sunt în continuare rețeaua de livrări pentru ransomware, ilustrând în mod clar cât de succes este această metodă de livrare.

Noi provocatori apar: Bart și RAA

Malware-ul JavaScript nu este singura amenințare Ransomware păstrează creșterea - cum vă puteți proteja pe tine însuți? Ransomware păstrează creșterea - cum vă puteți proteja pe tine însuți? Citește mai mulți utilizatori va trebui să se confrunte cu în lunile următoare - deși am un alt instrument JavaScript pentru a vă spune despre!

În primul rând, Bart infecția folosește câteva tehnici destul de standard de răscumpărare, folosind o interfață de plată similară cu Locky și direcționând o listă de extensii de fișiere pentru criptare. Cu toate acestea, există câteva diferențe operaționale cheie. În timp ce majoritatea ransomware-ului trebuie să formeze acasă la un server de comandă și control pentru iluminarea verde de criptare, Bart nu are un astfel de mecanism.

În schimb, Brendan Griffin și Ronnie Tokazowski de la Phishme cred că Bart se bazează pe a “identificator de victimă distinct pentru a indica actorului de amenințare ce cheie de decriptare ar trebui folosită pentru a crea aplicația de decriptare presupusă a fi disponibilă acelor victime care plătesc răscumpărarea,” ceea ce înseamnă că chiar dacă infectatul este deconectat rapid de pe Internet (înainte de a primi comanda tradițională și de control), răscumpărarea va cripta în continuare fișierele.

Există încă două lucruri care îl pun pe Bart la o parte: prețul său de decodificare și alegerea specifică a țintelor sale. În prezent se află la 3BTC (bitcoin), care la momentul scrisului echivalează cu puțin sub $ 2000! În ceea ce privește o alegere de ținte, este de fapt mai mult cine Bart nu ţintă. Dacă Bart determină o limbă de utilizator instalată de rusă, ucraineană sau belarusă, nu se va desfășura.

În al doilea rând, avem AAR, o altă variantă de rromi dezvoltate în întregime în JavaScript. Ceea ce face ca RAA să fie interesantă este folosirea bibliotecilor comune de JavaScript. RAA este distribuită printr-o rețea de e-mail rău intenționată, așa cum vedem cu majoritatea ransomware-urilor, și de obicei vine deghizat ca un document Word. Când fișierul este executat, acesta generează un document Word fals, care pare a fi complet corupt. În schimb, RAA scanează unitățile disponibile pentru a verifica accesul la citire și scriere și, dacă a reușit, biblioteca Crypto-JS pentru a începe criptarea fișierelor utilizatorului.

Pentru a adăuga insultă rănirii, RAA leagă, de asemenea, binecunoscutul program de furt de parole, Pony, doar pentru a vă asigura că sunteți cu adevărat înșurubați.

Controlul malware-ului JavaScript

Din fericire, în ciuda amenințării evidente reprezentate de malware-ul bazat pe JavaScript, putem atenua potențialul pericol cu ​​unele controale de securitate de bază atât în ​​conturile noastre de e-mail, cât și în pachetele noastre Office. Eu folosesc Microsoft Office, astfel că aceste sfaturi se vor concentra asupra acelor programe, dar ar trebui să aplicați aceleași principii de securitate aplicațiilor dvs. oricare ar fi.

Dezactivați macrocomenzile

Mai întâi, puteți dezactiva macrocomenzile care rulează automat. O macrocomandă poate conține coduri concepute pentru a descărca și a executa automat programe malware, fără să le realizați. Vă vom arăta cum să faceți acest lucru în Microsoft Word 2016, dar procesul este relativ similar pentru toate celelalte programe Office Cum să vă protejați împotriva malware-ului Microsoft Word Cum să vă protejați împotriva malware-ului Microsoft Word Știați că computerul dvs. poate fi infectat de documentele Microsoft Office rău intenționate sau că ați putea fi impiedicat să activați setările de care au nevoie pentru a infecta calculatorul dvs.? Citeste mai mult .

Veniți la Fișier> Opțiuni> Centru de încredere> Setări Centrul de încredere. Sub Setări macro aveți patru opțiuni. Eu aleg Dezactivați toate macrocomenzile cu notificare, așa că pot alege să o execut dacă sunt sigur de sursa. Cu toate acestea, Microsoft recomandă selectarea Dezactivați toate macrocomenzile, cu excepția macrocomenzilor semnate digital, în legătură directă cu răspândirea ransomware-ului Locky.

Afișați extensiile, utilizați programe diferite

Acest lucru nu este complet lipsit de siguranță, dar combinația celor două modificări vă va salva probabil de la dublul clic pe fișierul greșit.

Mai întâi, trebuie să activați extensiile de fișiere în Windows, care sunt ascunse în mod implicit.

În Windows 10, deschideți o fereastră Explorer și mergeți la Vedere tab. Verifica Extensii de nume de fișiere.

În Windows 7, 8 sau 8.1, mergeți la Panou de control> Aspect și personalizare> Opțiuni folder. Sub Vedere filă, derulați în jos Setari avansate până când observi Ascunde extensiile pentru tipurile de fișiere cunoscute.

Dacă descărcați accidental un fișier rău intenționat deghizat ca altceva, ar trebui să puteți vedea extensia fișierului înainte de execuție.

A doua parte implică modificarea programului implicit utilizat pentru deschiderea fișierelor JavaScript. Vedeți, atunci când se angajează cu JavaScript în browser-ul dvs., există o serie de bariere și cadre în loc pentru a încerca să opriți orice întâmplări rău-intenționate de la ravaging sistemul dumneavoastră. Odată ce sunteți în afara sfințeniei browser-ului și în shell-ul Windows, lucrurile rele se pot întâmpla când fișierul se execută.

Mergeți la a .js fişier. Dacă nu știți unde sau cum, intrați * .js în bara de căutare Windows Explorer. Fereastra dvs. ar trebui să populeze cu fișiere similare cu acestea:

Faceți clic cu butonul din dreapta pe un fișier și selectați Proprietăți. În acest moment, fișierul nostru JavaScript se deschide cu Host Writer Script Microsoft. Derulați în jos până când găsiți Notepad și apăsați O.K.

Verificați de două ori

Microsoft Outlook nu vă permite să primiți fișiere de un anumit tip. Aceasta include atât fișierele .exe și .js, cât și stoparea introducerii neadecvate a programelor malware pe computer. Cu toate acestea, asta nu înseamnă că nu pot și nu vor aluneca prin ambele mijloace. Există trei moduri extrem de ușor de rransomware pot fi reambalate:

  • Folosind compresia fișierelor: codul rău intenționat poate fi arhivat și este trimis cu o extensie de fișier diferită care nu declanșează blocarea atașamentului integrat de Outlook.
  • Redenumiți fișierul: întâlnim frecvent cod malitios deghizat ca alt tip de fișier. Pe măsură ce cea mai mare parte a lumii folosește o formă de suite de birouri, formatele de documente sunt extrem de populare.
  • Utilizarea unui server partajat: această opțiune este puțin probabil, dar poșta rău intenționată poate fi trimisă de la un server privat FTP sau securizat SharePoint dacă este compromisă. Deoarece serverul va fi listat în alb în Outlook, atașamentul nu va fi preluat ca malware.

Vedeți aici o listă completă a extensiilor pe care Outlook le blochează în mod implicit.

Vigilanță constantă

Nu o să mint. Există o amenințare omniprezentă de malware când sunteți online - dar nu trebuie să cedezi presiunii. Luați în considerare site-urile pe care le vizitați, conturile la care vă conectați și e-mailurile pe care le primiți. Și chiar dacă știm că este dificil ca software-ul antivirus să păstreze ritmul cu o varietate de variante de variante malware, descărcarea și actualizarea unei suite de antivirus ar trebui să facă parte din sistemul dvs. de apărare.

Ați fost lovit de răscumpărare? Ți-ai luat fișierele înapoi? Care era răscumpărarea? Spuneți-ne ce sa întâmplat cu dvs.!

Creditele de imagine: Harta de infectare cu botnet Necrus prin intermediul malwaretech.com, interfața de decriptare Bart și infecțiile actuale de către țară, atât prin intermediul phishme.com

Explorați mai multe despre: JavaScript, Microsoft Office 2016, Ransomware.