Din nya säkerhetshot för 2016 JavaScript Ransomware

Din nya säkerhetshot för 2016 JavaScript Ransomware / säkerhet

När nya instanser av den brett distribuerade Locky ransomware började torka runt i slutet av maj 2016 var säkerhetsforskare säkra på att vi inte hade sett den senaste filkrypteringsvaran.

Se, de hade rätt.

Sedan 19 junith säkerhetsexperter har observerat miljontals skadliga e-postmeddelanden som skickas med en bilaga som innehåller en ny variant av Locky ransomware. Utvecklingen verkar ha gjort skadlig programvara väldigt farligare utöver datorn: 5 sätt Ransomware kommer att ta dig fängslande framöver datorn: 5 sätt Ransomware kommer att ta dig fängslande i framtiden Ransomware är förmodligen den nästiest skadliga programvaran där ute och brottslingar som använder det blir mer avancerade. Här är fem oroande saker som snart kan tas i gisslan, inklusive smarta hem och smarta bilar. Läs mer, och åtföljs av en förändrad distributionstaktik som sprider infektionen längre än vad som tidigare sett.

Det är inte bara Locky ransomware oroande säkerhetsforskare. Det har redan funnits andra varianter av Locky, och det verkar som att distributionsnätmen ramlar upp “produktion” över hela världen, utan några speciella mål i åtanke.

JavaScript Ransomware

2016 har sett ett litet skifte i skadlig koddistribution. Fall inte i skamfilmens skull: En guide till Ransomware och andra hot faller inte i skammen: En guide till Ransomware och andra hot Läs mer. Internetanvändare kan bara bara börja förstå den extrema hotet ransomware utgör, men det har redan börjat utvecklas, för att förbli under radar så länge som möjligt.

Och medan malware som använder kända JavaScript-ramar är inte ovanligt, blev säkerhetspersonal överväldigad med en skymning av skadlig kod i första kvartalet 2016, som ledde Eldon Sprickerhoff till att säga:

“Malware evolution verkar vara lika snabb och cutthroat som någon djungel miljö, där överlevnad och förökning går hand i hand. Författare har ofta samordnat funktionalitet från olika malware-stammar till nästa generations kod - regelbundet samplar effekten och lönsamheten hos varje generation.”

Tillkomsten av ransomware kodad i JavaScript presenterar en ny utmaning för användarna att försöka undvika. Tidigare, om du av misstag hämtade eller skickades en skadlig fil, skulle Windows skanna filtillägget och bestämma om den här typen av fil utgör en fara för ditt system eller ej.

Till exempel, när du försöker köra ett okänt .exe filen kommer du att stöta på den här varningen:

Det finns ingen sådan standardvarning med JavaScript - .js filtillägg - filer, vilket lett till att ett stort antal användare klickade utan att tänka och sedan hölls för lösen.

Botnets och Spam Email

Den stora delen av ransomware skickas via skadliga e-postmeddelanden, som i sin tur skickas i stora volymer via massiva nätverk av infekterade datorer, vanligen kallad en “botnät.”

Den enorma ökningen av Locky ransomware har kopplats direkt till Necrus botnet, som såg i genomsnitt 50 tusen IP-adresser infekteras var 24: e timme i flera månader. Under observation (vid Anubis Networks) var infektionshastigheten stabil, fram till 28 marsth när det var en stor ökning, nått 650 tusen infektioner över en 24-timmarsperiod. Därefter tillbaka till affärer som vanligt, om än med en långsamt sänkt infektionshastighet.

Den 1 junist, Necrus gick tyst. Spekulationen varför botneten gick tyst är smal, men mycket centrerad kring gripandet av cirka 50 ryska hackare. Botnet återupptog emellertid verksamhet senare i månaden (omkring 19th Juni), skickar den nya Locky-varianten till miljoner potentiella offer. Du kan se nuvarande spridningen av Necrus botnet i bilden ovan - notera hur det undviker Ryssland?

Spam-e-postmeddelandena innehåller alltid en bilaga, som påstås vara ett viktigt dokument eller arkiv som skickas från ett betrodat (men spoofed) konto. När dokumentet har laddats ner och åtkomst, kör det automatiskt ett infekterat makro eller annat skadligt skript, och krypteringsprocessen börjar.

Oavsett om Locky, Dridex, CryptoLocker eller en av de myriad ransomware-varianterna Virus, Spyware, Malware, etc. är förklarade: Förstå virus mot virus, spionprogram, skadlig kod, etc. Förklarade: Förstå onlinehot När du börjar tänka på alla saker som kan gå fel när du surfar på Internet, webben börjar se ut som en ganska skrämmande plats. Läs mer, spam e-post är fortfarande valleveransnätverket för ransomware, vilket tydligt visar hur framgångsrikt denna leveransmetod är.

Nya utmanare uppträder: Bart och RAA

JavaScript-programvara är inte den enda hoten Ransomware håller på att växa - hur kan du skydda dig själv? Ransomware håller växande - hur kan du skydda dig själv? Läs mer användare kommer att behöva gå med i de kommande månaderna - även om jag har ett annat JavaScript-verktyg för att berätta om!

Först upp, Bart infektion använder vissa ganska standard ransomware tekniker, med ett liknande betalningsgränssnitt till Locky, och inriktar sig på en vanlig lista över filtillägg för kryptering. Det finns dock några viktiga operativa skillnader. Medan de flesta ransomware behöver ringa hem till en kommando- och kontrollserver för krypteringsgrönt ljus, har Bart ingen sådan mekanism.

Istället tror Brendan Griffin och Ronnie Tokazowski från Phishme att Bart är beroende av en “distriktsidentifierare för att indikera för hotaktören vilken dekrypteringsnyckel som ska användas för att skapa dekrypteringsansökan som påstås vara tillgänglig för de offer som betalar lösenbeloppet,” vilket betyder att även om de smittade snabbt kopplas från Internet (innan de får det traditionella kommandot och kontrollen går framåt), kommer ransomware fortfarande kryptera filerna.

Det finns två saker som ställer Bart åt sidan: dess pris för dekryptering och dess specifika val av mål. Det står för närvarande på 3BTC (bitcoin), som vid skrivetid motsvarar knappt $ 2000! När det gäller ett val av mål är det faktiskt mer som Bart inte mål. Om Bart bestämmer ett installerat användarspråk för ryska, ukrainska eller belorussiska, kommer det inte att distribueras.

För det andra har vi RAA, En annan ransomware-variant utvecklad helt i JavaScript. Det som gör RAA intressant är dess användning av vanliga JavaScript-bibliotek. RAA distribueras via ett skadligt e-postnätverk, som vi ser med de flesta ransomware, och brukar komma förklädd som ett Word-dokument. När filen körs genererar den ett falskt Word-dokument som verkar vara helt skadat. Istället skannar RAA de tillgängliga enheterna för att söka efter läs- och skrivåtkomst och, om det är framgångsrikt, kan Crypto-JS-biblioteket börja kryptera användarens filer.

För att lägga till förolämpning för skada, bunter RAA också känt lösenordsprogram, Pony, för att se till att du verkligen är riktigt skruvad.

Kontrollerar JavaScript Malware

Lyckligtvis kan vi, trots det uppenbara hotet som orsakas av JavaScript-baserad skadlig kod, mildra den potentiella risken med några grundläggande säkerhetskontroller i både våra e-postkonton och våra Office-sviter. Jag använder Microsoft Office, så de här tipsen kommer att fokusera på de programmen, men du bör tillämpa samma säkerhetsprinciper som dina applikationer.

Inaktivera makron

Först kan du inaktivera makron från automatiskt körning. Ett makro kan innehålla kod som är utformad för att automatiskt ladda ner och exekvera skadlig kod, utan att du förstår. Jag ska visa dig hur du gör det i Microsoft Word 2016, men processen är relativt lika för alla andra Office-program. Hur man skyddar sig mot Microsoft Word-skadlig program. Hur man skyddar sig mot Microsoft Word-skadlig program. Visste du att din dator kan smittas av skadliga Microsoft Office-dokument, eller att du skulle kunna luras på att aktivera de inställningar de behöver för att infektera din dator? Läs mer .

Bege sig till Arkiv> Alternativ> Trust Center> Trust Center Settings. Under Makroinställningar du har fyra alternativ. Jag väljer att Inaktivera alla makron med meddelande, så jag kan välja att köra den om jag är säker på källan. Microsoft rekommenderar dock att du väljer Inaktivera alla makron utom digitalt signerade makron, i direkt relation till spridningen av Locky ransomware.

Visa tillägg, använd olika program

Det här är inte helt idiotiskt, men kombinationen av de två ändringarna kommer kanske att spara dig från att dubbelklicka på fel fil.

Först måste du aktivera filtillägg i Windows, som är dolda som standard.

I Windows 10 öppnar du ett Explorer-fönster och leder till Se flik. Kontrollera Filnamnstillägg.

I Windows 7, 8 eller 8.1, gå till Kontrollpanelen> Utseende och anpassning> Mappalternativ. Under Se fliken, rulla nedåt Avancerade inställningar tills du upptäcker Dölj filnamnstillägg för kända filtyper.

Om du av misstag hämtar en skadlig fil förklädd som något annat, borde du kunna se filtillägget före körning.

Den andra delen av detta innebär att du ändrar standardprogrammet som används för att öppna JavaScript-filer. Du ser att när du engagerar med JavaScript i din webbläsare finns det ett antal hinder och ramar på plats för att försöka stoppa eventuella skadliga händelser från att försvåra ditt system. När du väl befinner dig utanför webbläsarens helighet och i Windows-skalet kan dåliga saker hända när filen körs.

Gå till en .js fil. Om du inte vet var eller hur du skriver in * JS in i Utforskaren sökfältet. Ditt fönster ska fyllas i med filer som är relaterade till detta:

Högerklicka på en fil och välj Egenskaper. För tillfället öppnas vår JavaScript-fil med Microsoft Windows Based Script Host. Bläddra ner tills du hittar Anteckningar och tryck på ok.

Dubbelkolla

Microsoft Outlook låter dig inte ta emot filer av viss typ. Detta inkluderar både .exe och .js, och ska stoppa att du oavsiktligt inför malware till din dator. Men det betyder inte att de inte kan och kommer inte att gå igenom båda andra sätten. Det finns tre extremt enkla sätt att ransomware kan ompaketeras:

  • Använda filkomprimering: Den skadliga koden kan arkiveras och skickas med en annan filtillägg som inte utlöser Outlooks integrerade bilagningsblockering.
  • Byt namn på filen: Vi stöter ofta på skadlig kod förklädd som en annan filtyp. Eftersom det mesta av världen använder någon form av kontorsuite är dokumentformat extremt populärt.
  • Använda en delad server: Det här alternativet är lite mindre sannolikt, men skadligt mail kan skickas från en privat FTP eller säker SharePoint-server om den äventyras. Eftersom servern skulle vara vitlistad i Outlook, skulle bilagan inte hämtas som skadlig.

Se här för en fullständig lista över vilka tillägg som Outlook blockerar som standard.

Konstant vaksamhet

Jag kommer inte att ljuga. Det finns ett allmänt förekommande hot om skadlig kod när du är online - men du behöver inte lägga ner pressen. Tänk på de webbplatser du besöker, de konton du loggar på och de e-postmeddelanden som du tar emot. Och trots att vi vet att det är svårt för antivirusprogramvara att hålla sig i takt med det bländande utbudet av skadliga programvarianter som slås ut, bör nedladdning och uppdatering av en antiviruspaket absolut ingå i ditt försvar.

Har du drabbats av ransomware? Fick du dina filer tillbaka? Vilken ransomware var det? Låt oss veta vad som hände med dig!

Bildkrediter: Necrus botnet infektionskarta via malwaretech.com, Bart dekrypteringsgränssnitt och aktuella infektioner per land både via phishme.com

Utforska mer om: JavaScript, Microsoft Office 2016, Ransomware.