Uw nieuwe beveiligingsbedreiging voor 2016 JavaScript Ransomware
Toen nieuwe exemplaren van de wijdverspreide Locky ransomware rond het einde van mei 2016 begonnen op te drogen, waren beveiligingsonderzoekers er zeker van dat we de laatste van de bestandsversleutelde malware-variant niet hadden gezien.
Ziet u, zij hadden gelijk.
Sinds 19 junith beveiligingsexperts hebben miljoenen schadelijke e-mailberichten waargenomen die zijn verzonden met een bijlage met een nieuwe variant van de Locky ransomware. De evolutie lijkt de malware enorm gevaarlijker te maken Beyond Your Computer: 5 manieren waarop Ransomware je gevangen neemt in de toekomst Beyond Your Computer: 5 manieren waarop Ransomware je gevangen neemt in de toekomst Ransomware is waarschijnlijk de meest nare malware die er is, en de criminelen die het gebruiken worden steeds geavanceerder. Hier zijn vijf verontrustende dingen die snel kunnen worden gegijzeld, waaronder slimme huizen en slimme auto's. Read More, en gaan vergezeld van een gewijzigde distributietactiek, waardoor de infectie verder wordt verspreid dan eerder werd gezien.
Het zijn niet alleen de Locky ransomware die zich zorgen maken over beveiligingsonderzoekers. Er zijn al andere varianten van Locky geweest en het lijkt erop dat distributienetwerken aan het versnellen zijn “productie” over de hele wereld, zonder specifieke doelen in gedachten.
JavaScript Ransomware
2016 heeft een lichte verschuiving in verspreiding van malware gezien Do not Fall Foul of the Scammers: A Guide To Ransomware & Other Threats Do not Fall Foul of the Scammers: A Guide To Ransomware & Other Threats Read More. Internetgebruikers beginnen misschien pas net te begrijpen wat de extreme dreiging-ransomware vormt, maar het is al begonnen te evolueren om zo lang mogelijk onder de radar te blijven.
En hoewel malware die gebruikmaakt van bekende JavaScript-frameworks niet ongebruikelijk zijn, werden beveiligingsprofessionals in het eerste kwartaal van 2016 overweldigd door een stortvloed aan malware, waardoor Eldon Sprickerhoff het volgende zei:
“Malwarevolutie lijkt net zo snel en moordend als elke jungleomgeving, waar overleven en propagatie hand in hand gaan. Auteurs hebben vaak functionaliteit van verschillende malware-stammen gecombineerd in de volgende generatie code - waarbij regelmatig de werkzaamheid en winstgevendheid van elke generatie worden bemonsterd.”
De komst van ransomware gecodeerd in JavaScript biedt een nieuwe uitdaging voor gebruikers om te proberen te vermijden. Voorheen, als u per ongeluk een bestand met schadelijke inhoud hebt gedownload of hebt verzonden, zou Windows de bestandsextensie scannen en beslissen of dit specifieke bestandstype al dan niet een gevaar vormt voor uw systeem..
Bijvoorbeeld wanneer u een onbekende probeert te gebruiken .exe bestand, verschijnt deze waarschuwing:
Er is geen dergelijke standaardwaarschuwing met JavaScript - de .js bestandsextensie - bestanden, wat heeft geleid tot een enorm aantal gebruikers dat zonder na te denken klikte en vervolgens werd vastgehouden voor losgeld.
Botnets en spam-e-mail
De overgrote meerderheid van de ransomware wordt verzonden via kwaadwillende e-mails, die op hun beurt in enorme hoeveelheden worden verzonden via enorme netwerken van geïnfecteerde computers, meestal een “botnet.”
De enorme toename in Locky ransomware is direct gekoppeld aan het Necrus-botnet, dat een gemiddelde zag 50.000 IP-adressen worden elke 24 uur gedurende verschillende maanden geïnfecteerd. Tijdens observatie (door Anubis Networks) bleef de infectiepercentage stabiel tot 28 maartth toen er een enorme golf was, reikend 650.000 infecties gedurende een periode van 24 uur. Daarna weer normaal, maar dan met een langzaam dalende infectie.
Op 1 junist, Necrus werd stil. Speculaties over waarom het botnet stil werd, zijn beperkt, maar veel gecentreerd rond de arrestatie van ongeveer 50 Russische hackers. Het botnet ging later in de maand echter weer verder (omstreeks 19th Juni), en stuurt de nieuwe Locky-variant naar miljoenen potentiële slachtoffers. Je kunt de huidige verspreiding van het Necrus-botnet zien in de bovenstaande afbeelding - merk op hoe het Rusland vermijdt?
De spam-e-mails bevatten altijd een bijlage, waarbij wordt beweerd dat het een belangrijk document is of een archief dat wordt verzonden vanuit een vertrouwd (maar vervalst) account. Nadat het document is gedownload en geopend, voert het automatisch een geïnfecteerde macro of ander kwaadaardig script uit en begint het coderingsproces.
Of Locky, Dridex, CryptoLocker of een van de talloze ransomware-varianten Virussen, Spyware, Malware, enz. Explained: Understanding Online Threats Virussen, Spyware, Malware, enz. Explained: Inzicht in online dreigingen Wanneer je begint na te denken over alle dingen die kan fout gaan bij het surfen op internet, het web begint er een beetje eng uit te zien. Meer lezen, spam-e-mail is nog steeds het leveringsnetwerk van de keuze voor ransomware, duidelijk illustrerend hoe succesvol deze manier van bezorgen is.
Nieuwe uitdagers verschijnen: Bart en RAA
JavaScript JavaScript is niet de enige bedreiging Ransomware Keeps Growing - How Can You Yourself? Ransomware blijft groeien - Hoe kunt u uzelf beschermen? Meer gebruikers zullen de komende maanden te maken krijgen, hoewel ik over een andere JavaScript-tool moet beschikken om over te vertellen!
Ten eerste, de Bart infectie maakt gebruik van een aantal vrij standaard ransomwaretechnieken, met behulp van een vergelijkbare betalingsinterface voor Locky, en het targeten van een reguliere lijst met bestandsextensies voor codering. Er zijn echter een aantal belangrijke operationele verschillen. Hoewel de meeste ransomware naar een opdracht- en controleserver moeten bellen voor het groene coderingslampje, heeft Bart zo'n mechanisme niet.
In plaats daarvan geloven Brendan Griffin en Ronnie Tokazowski van Phishme dat Bart vertrouwt op a “verschillende identificator van het slachtoffer om aan de actor van de bedreiging aan te geven welke ontsleutelingssleutel moet worden gebruikt om de ontcijferingsapplicatie te maken die wordt aangeboden aan de slachtoffers die het losgeld betalen,” wat betekent dat zelfs als de geïnfecteerde snel wordt losgekoppeld van het internet (voordat de traditionele opdracht en het besturingsverzoek wordt ontvangen), de ransomware de bestanden nog steeds codeert.
Er zijn nog twee dingen die Bart opzij schuiven: de vraagprijs van de decodering en de specifieke keuze van de doelen. Het staat momenteel op 3BTC (bitcoin), wat op het moment van schrijven neerkomt op iets minder dan $ 2000! Wat betreft een keuze van doelen, is het eigenlijk meer wie Bart niet doelwit. Als Bart een geïnstalleerde gebruikerstaal van Russisch, Oekraïens of Wit-Russisch bepaalt, wordt deze niet ingezet.
Ten tweede hebben we dat gedaan RAA, een andere ransomware-variant die volledig is ontwikkeld in JavaScript. Wat RAA interessant maakt, is het gebruik van gemeenschappelijke JavaScript-bibliotheken. RAA wordt gedistribueerd via een kwaadaardig e-mailnetwerk, zoals we bij de meeste ransomware zien, en wordt meestal verborgen als een Word-document. Wanneer het bestand wordt uitgevoerd, genereert het een nep Word-document dat volledig beschadigd lijkt te zijn. In plaats daarvan scant RAA de beschikbare stations om te controleren op lees- en schrijftoegang en, indien succesvol, de Crypto-JS-bibliotheek om te beginnen met het coderen van de bestanden van de gebruiker.
Om nog erger te maken, bundelt RAA ook het bekende wachtwoordstelende programma Pony, gewoon om er zeker van te zijn dat je echt.
JavaScript-malware controleren
Gelukkig kunnen we, ondanks de overduidelijke dreiging van op JavaScript gebaseerde malware, het potentiële gevaar beperken met enkele elementaire beveiligingscontroles in zowel onze e-mailaccounts als onze Office-suites. Ik gebruik Microsoft Office, dus deze tips zullen zich op die programma's richten, maar u moet dezelfde beveiligingsprincipes toepassen op uw applicaties die u gebruikt.
Schakel macro's uit
Ten eerste kunt u uitschakelen dat macro's automatisch worden uitgevoerd. Een macro kan code bevatten die is ontworpen om automatisch malware te downloaden en uit te voeren, zonder dat u het merkt. Ik zal je laten zien hoe je dit moet doen in Microsoft Word 2016, maar het proces is vergelijkbaar voor alle andere Office-programma's. Hoe jezelf beschermen tegen Microsoft Word Malware Hoe jezelf te beschermen tegen Microsoft Word Malware Wist je dat je computer geïnfecteerd kan zijn? door kwaadwillende Microsoft Office-documenten, of dat u de dupe zou kunnen worden van het inschakelen van de instellingen die ze nodig hebben om uw computer te infecteren? Lees verder .
Ga naar Bestand> Opties> Vertrouwenscentrum> Instellingen voor het Vertrouwenscentrum. Onder Macro-instellingen je hebt vier opties. Ik kies ervoor Schakel alle macro's uit met een melding, dus ik kan ervoor kiezen om het uit te voeren als ik zeker ben van de bron. Microsoft adviseert echter om te selecteren Schakel alle macro's uit behalve digitaal ondertekende macro's, in directe relatie tot de verspreiding van de Locky ransomware.
Show Extensions, Use Different Program
Dit is niet volledig onfeilbaar, maar de combinatie van de twee wijzigingen kan u wellicht redden van het dubbelklikken op het verkeerde bestand.
Ten eerste moet u bestandsextensies in Windows inschakelen die standaard verborgen zijn.
Open in Windows 10 een Verkenner-venster en ga naar Uitzicht tab. Controleren Bestandsnaamextensies.
Ga in Windows 7, 8 of 8.1 naar Configuratiescherm> Vormgeving en persoonlijke instellingen> Mapopties. Onder de Uitzicht tab, scroll naar beneden Geavanceerde instellingen tot je merkt Verberg extensies voor bekende bestandstypen.
Als u per ongeluk een schadelijk bestand downloadt, vermomd als iets anders, zou u de bestandsextensie moeten kunnen herkennen voor uitvoering.
Het tweede deel hiervan betreft het wijzigen van het standaardprogramma dat wordt gebruikt om JavaScript-bestanden te openen. Weet u, wanneer u zich bezighoudt met JavaScript in uw browser, zijn er een aantal barrières en frameworks aanwezig om te proberen te voorkomen dat kwaadaardige gebeurtenissen uw systeem beschadigen. Als je eenmaal buiten de heiligheid van de browser en in de Windows-shell bent, kunnen er slechte dingen gebeuren wanneer dat bestand wordt uitgevoerd.
Ga naar a .js het dossier. Als u niet weet waar of hoe, voert u in * .js in de zoekbalk van Windows Verkenner. Uw venster zou moeten vullen met bestanden die hierop lijken:
Klik met de rechtermuisknop op een bestand en selecteer eigenschappen. Op dit moment wordt ons JavaScript-bestand geopend met Microsoft Windows Based Script Host. Scroll naar beneden tot je vindt blocnote en druk op OK.
Dubbel Check
Microsoft Outlook laat u geen bestanden van een bepaald type ontvangen. Dit omvat zowel .exe en .js en is om te voorkomen dat u per ongeluk malware op uw computer introduceert. Dat betekent echter niet dat ze niet door beide middelen kunnen en zullen glippen. Er zijn drie uiterst eenvoudige manieren waarop ransomware kan worden herverpakt:
- Bestandscompressie gebruiken: de schadelijke code kan worden gearchiveerd en wordt verzonden met een andere bestandsextensie die de geïntegreerde bijlage-blokkering van Outlook niet activeert.
- Hernoem het bestand: we komen vaak schadelijke code tegen die is vermomd als een ander bestandstype. Aangezien de meeste van de wereld een bepaalde vorm van kantoorsuite gebruiken, zijn documentindelingen buitengewoon populair.
- Een gedeelde server gebruiken: deze optie is iets minder waarschijnlijk, maar schadelijke e-mail kan worden verzonden vanaf een privé-FTP of beveiligde SharePoint-server als deze wordt misbruikt. Omdat de server op de witte lijst zou worden gezet in Outlook, zou de bijlage niet als schadelijk worden opgepikt.
Zie hier voor een volledige lijst van welke extensies Outlook standaard blokkeert.
Constante waakzaamheid
Ik zal niet liegen. Er is een alomtegenwoordige dreiging van malware wanneer je online bent - maar je hoeft niet onder druk te staan. Denk aan de sites die u bezoekt, de accounts waarbij u zich aanmeldt en de e-mails die u ontvangt. En hoewel we weten dat het moeilijk is voor antivirussoftware om gelijke tred te houden met de verblindende reeks malwarevarianten die wordt uitgedraaid, moet het downloaden en bijwerken van een antivirusprogramma absoluut deel uitmaken van je systeemverdediging.
Ben je geraakt door ransomware? Heb je je bestanden terug gekregen? Welke ransomware was het? Laat ons weten wat er met je is gebeurd!
Image Credits: Necrus botnet-infectiekaart via malwaretech.com, Bart-decoderingsinterface en actuele infecties per land, beide via phishme.com
Ontdek meer over: JavaScript, Microsoft Office 2016, Ransomware.