Din nye sikkerhetsrisiko for 2016 JavaScript Ransomware
Når nye forekomster av den brede distribuerte Locky ransomware begynte å tørke opp rundt slutten av mai 2016, var sikkerhetsforskere sikre på at vi ikke hadde sett den siste filkrypterende malwarevarianten.
Se, de hadde rett.
Siden 19. junith Sikkerhetseksperter har observert millioner av skadelige e-postmeldinger sendt med et vedlegg som inneholder en ny variant av Locky ransomware. Utviklingen ser ut til å ha gjort malware mye farligere Utover datamaskinen: 5 måter Ransomware vil ta deg fange i fremtiden utover datamaskinen: 5 måter Ransomware vil ta deg fange i fremtiden Ransomware er trolig den nestiest malware der ute, og den Kriminelle bruker det blir mer avanserte. Her er fem bekymringsfulle ting som kan bli tatt i gis snart, inkludert smarte hjem og smarte biler. Les mer, og ledsages av en endret distribusjons taktikk, som sprer infeksjonen ytterligere enn tidligere sett.
Det er ikke bare Locky ransomware bekymrende sikkerhetsforskere. Det har allerede vært andre varianter av Locky, og det ser ut til at distribusjonsnettene rammer opp “produksjon” over hele verden, uten spesielle mål i tankene.
JavaScript Ransomware
2016 har sett et svakt skifte i skadedistribusjon. Ikke fall Foul of the Scammers: En veiledning til Ransomware og andre trusler faller ikke feil av svindlere: En guide til Ransomware og andre trusler. Les mer. Internett-brukere kan bare bare begynne å forstå den ekstreme trusselen ransomware utgjør, men den har allerede begynt å utvikle seg for å forbli under radar så lenge som mulig.
Og mens skadelig programvare som bruker kjente JavaScript-rammer er ikke uvanlig, ble sikkerhetsprofesjonelle overveldet med en deluge av skadelig programvare i første kvartal 2016 som ledet Eldon Sprickerhoff til å si:
“Malware evolusjon ser ut til å være like rask og cutthroat som ethvert jungel miljø, hvor overlevelse og forplantning går hånd i hånd. Forfattere har ofte ko-optisert funksjonalitet fra forskjellige malware-stammer til neste generasjons kode - regelmessig prøvet effekten og lønnsomheten til hver generasjon.”
Tilkomsten av ransomware kodet i JavaScript presenterer en ny utfordring for brukere å forsøke å unngå. Tidligere, hvis du ved et uhell lastet ned, eller ble sendt en ondsinnet fil, vil Windows skanne filtypen og avgjøre om denne typen fil utgjør en fare for systemet ditt.
For eksempel, når du prøver å kjøre et ukjent .exe fil, vil du møte denne advarselen:
Det finnes ingen slik standardvarsel med JavaScript - .js filutvidelser - filer, som har ført til et enormt antall brukere som klikker uten å tenke, og deretter holdes for løsepenge.
Botnets og Spam Email
Det store flertallet av ransomware sendes via ondsinnede e-post, som igjen sendes i store volumer gjennom massive nettverk av infiserte datamaskiner, ofte referert til som en “botnet.”
Den enorme økningen i Locky ransomware har vært koblet direkte til Necrus botnet, som så et gjennomsnitt på 50000 IP-adresser infiseres hver 24. time i flere måneder. Under observasjon (ved Anubis Networks) forblev infeksjonshastigheten stabil, til 28. marsth da det var en stor bølge, nådde 650000 infeksjoner over en 24-timers periode. Deretter, tilbake til virksomheten som vanlig, om enn med en sakte fallende infeksjonsrate.
1. junist, Necrus gikk stille. Spekulasjon om hvorfor botnet gikk stille er slank, men mye sentrert rundt arrestasjonen av rundt 50 russiske hackere. Botnet gjenopptok imidlertid virksomheten senere i måneden (rundt 19th Juni), sender den nye Locky-varianten til millioner av potensielle ofre. Du kan se nåværende spredning av Necrus botnet i bildet ovenfor - legg merke til hvordan det unngår Russland?
Spam-e-postadressene inneholder alltid et vedlegg som viser seg å være et viktig dokument eller arkiv sendt fra en klarert (men spoofed) konto. Når dokumentet er lastet ned og åpnet, vil det automatisk kjøre en infisert makro eller et annet skadelig skript, og krypteringsprosessen starter.
Hvorvidt Locky, Dridex, CryptoLocker eller en av de myriade ransomware-varianterne Virus, Spyware, Malware, etc. Forklart: Forstå Internett-trusler Virus, Spyware, Malware, etc. Forklart: Forstå Online Trusler Når du begynner å tenke på alle de tingene som kan gå galt når du surfer på Internett, nettet begynner å se ut som et ganske skummelt sted. Les mer, spam e-post er fortsatt valgleverandørenettverket for ransomware, som tydelig illustrerer hvor vellykket denne leveringsmetoden er.
Nye utfordrere vises: Bart og RAA
JavaScript-skadelig programvare er ikke den eneste trusselen Ransomware holder økende - Hvordan kan du beskytte deg selv? Ransomware holder økende - hvordan kan du beskytte deg selv? Les mer brukerne må kjempe med i de kommende månedene - selv om jeg har et annet JavaScript-verktøy for å fortelle deg om!
Først oppe, Bart infeksjon utnytter noen ganske standard ransomware teknikker, ved hjelp av et lignende betalingsgrensesnitt til Locky, og målretter mot en ordinær liste over filutvidelser for kryptering. Det er imidlertid et par viktige driftsforskjeller. Mens de fleste ransomware trenger å ringe hjem til en kommando- og kontrollserver for krypteringsgrønt lys, har Bart ingen slik mekanisme.
I stedet mener Brendan Griffin og Ronnie Tokazowski av Phishme at Bart stoler på en “tydelig offer for identifikasjon for å indikere til trusselskuespilleren hvilken dekrypteringsnøkkel som skal brukes til å lage dekrypteringsapplikasjonen påstått å være tilgjengelig for de ofrene som betaler løsepenge,” noe som betyr at selv om de smittede er raskt frakoblet fra Internett (før de mottar den tradisjonelle kommandoen og kontrollen går framover), vil ransomware fortsatt kryptere filene.
Det er to ting som setter Bart til side: dens dekryptering som ber om pris og sitt bestemte valg av mål. Den står for tiden på 3BTC (bitcoin), som i skrivende stund er like under $ 2000! Når det gjelder et utvalg av mål, er det faktisk mer som Bart ikke mål. Hvis Bart bestemmer et installert brukerspråk av russisk, ukrainsk eller belorussisk, vil den ikke distribuere.
For det andre har vi RAA, En annen ransomware-variant utviklet helt i JavaScript. Det som gjør RAA interessant, er bruken av vanlige JavaScript-biblioteker. RAA distribueres gjennom et skadelig e-postnettverk, som vi ser med de fleste ransomware, og kommer vanligvis forklart som et Word-dokument. Når filen utføres, genererer den et falskt Word-dokument som ser ut til å være helt ødelagt. I stedet søker RAA de tilgjengelige stasjonene for å sjekke om lese- og skriveadgang, og hvis det lykkes, vil Crypto-JS-biblioteket begynne å kryptere brukerens filer.
For å legge til fornærmelse mot skade, pakker RAA også godt kjent passordstallprogram Pony, for å være sikker på at du virkelig er virkelig skrudd.
Kontrollerer JavaScript Malware
Heldigvis, til tross for den åpenbare trusselen fra JavaScript-basert malware, kan vi redusere den potensielle faren med noen grunnleggende sikkerhetskontroller i både e-postkontoer og Office-suiter. Jeg bruker Microsoft Office, så disse tipsene vil fokusere på disse programmene, men du bør bruke de samme sikkerhetsprinsippene til dine applikasjoner du bruker.
Deaktiver makroer
Først kan du deaktivere makroer fra automatisk kjøring. En makro kan inneholde kode som er utformet for automatisk nedlasting og utførelse av skadelig programvare, uten at du skjønner. Jeg viser deg hvordan du gjør dette i Microsoft Word 2016, men prosessen er relativt lik alle andre Office-programmer. Slik beskytter du deg mot Microsoft Word-skadelig programvare. Slik beskytter du deg mot Microsoft Word-skadelig programvare. Visste du at datamaskinen din kan bli smittet av ondsinnede Microsoft Office-dokumenter, eller at du kan bli bedt om å aktivere innstillingene de trenger for å infisere datamaskinen din? Les mer .
Drar mot Arkiv> Valg> Tillitssenter> Innstillinger for tillitsenter. Under Makroinnstillinger du har fire alternativer. Jeg velger å Deaktiver alle makroer med varsel, så jeg kan velge å kjøre den hvis jeg er sikker på kilden. Microsoft anbefaler imidlertid å velge Deaktiver alle makroer unntatt digitalt signerte makroer, i direkte forbindelse med spredningen av Locky ransomware.
Vis utvidelser, bruk forskjellig program
Dette er ikke helt idiotsikkert, men kombinasjonen av de to endringene vil kanskje spare deg fra å dobbeltklikke på feil fil.
Først må du aktivere filtillegg i Windows, som er gjemt som standard.
I Windows 10 åpner du et Explorer-vindu, og leder til Utsikt fane. Kryss av Filnavn utvidelser.
I Windows 7, 8 eller 8.1, gå til Kontrollpanel> Utseende og tilpassing> Mappevalg. Under Utsikt fanen, bla nedover Avanserte innstillinger til du ser på Skjul utvidelser for kjente filtyper.
Hvis du ved et uhell laster ned en skadelig fil forklart som noe annet, bør du kunne se filtypen før kjøring.
Den andre delen av dette innebærer å endre standardprogrammet som brukes til å åpne JavaScript-filer. Du ser, når du engasjerer med JavaScript i nettleseren din, finnes det en rekke barrierer og rammer for å forsøke å stoppe eventuelle ondsinnede hendelser fra å ødelegge systemet. Når du er utenfor helheten av nettleseren og inn i Windows-skallet, kan dårlige ting skje når filen utføres.
Gå til en .js fil. Hvis du ikke vet hvor eller hvordan, skriv inn * JS inn i Windows Utforsker-søkefeltet. Vinduet ditt bør fylle ut med filer som ligner på dette:
Høyreklikk en fil og velg Eiendommer. For øyeblikket åpner JavaScript-filen vår med Microsoft Windows Based Script Host. Rull ned til du finner Notisblokk og trykk OK.
Dobbel sjekk
Microsoft Outlook lar deg ikke motta filer av bestemt type. Dette inkluderer både .exe og .js, og skal stoppe at du utilsiktet introduserer skadelig programvare på datamaskinen din. Det betyr imidlertid ikke at de ikke kan og vil ikke gå gjennom begge andre midler. Det er tre svært enkle måter ransomware kan pakkes om igjen:
- Bruke filkomprimering: Den ondsinnede koden kan arkiveres, og sendes med en annen filtillegg som ikke utløser Outlooks integrerte vedleggsblokkering.
- Gi nytt navn til filen: Vi møter ofte ondsinnet kode forklart som en annen filtype. Som det meste av verden bruker noen form for kontorsuite, er dokumentformater ekstremt populære.
- Bruke en delt server: Dette alternativet er litt mindre sannsynlig, men skadelig post kan sendes fra en privat FTP- eller sikker SharePoint-server hvis den er kompromittert. Siden serveren vil bli hvitlistet i Outlook, vil vedlegget ikke bli hentet opp som skadelig.
Se her for en fullstendig liste over hvilke utvidelser Outlook som standard blokkerer.
Konstant årvåkenhet
Jeg kommer ikke til å lyve. Det er en allestedsnærværende trussel om skadelig programvare når du er online - men du trenger ikke å undertrykke presset. Vurder nettstedene du besøker, kontoene du logger deg på, og e-postene du mottar. Og selv om vi vet at det er vanskelig for antivirusprogramvare å opprettholde tempoet med det blendende utvalg av malwarevarianter kalt ut, bør nedlasting og oppdatering av en antiviruspakke helt utgjøre en del av systemforsvaret ditt.
Har du blitt rammet av ransomware? Fikk du filene dine tilbake? Hvilken ransomware var det? Gi oss beskjed om hva som skjedde med deg!
Image Credits: Necrus botnet infeksjonskart via malwaretech.com, Bart dekrypteringsgrensesnitt og nåværende infeksjoner etter land begge via phishme.com
Utforsk mer om: JavaScript, Microsoft Office 2016, Ransomware.