Glavna stranica sigurnosti Vaša nova sigurnosna prijetnja za 2016. JavaScript Ransomware

Vaša nova sigurnosna prijetnja za 2016. JavaScript Ransomware

  • William Charles
  • 0
  • 3467
  • 744
Oglas

Kad su se krajem svibnja 2016. nove instance široko distribuiranog Locky ransomwarea počele presušivati, sigurnosni istraživači bili su sigurni da nismo vidjeli posljednju varijantu zlonamjernog softvera koji šifrira datoteku.

Evo, bili su u pravu.

Od 19. lipnjath sigurnosni stručnjaci primijetili su milijune zlonamjernih poruka e-pošte poslanih s privitkom koji sadrže novu varijantu Locky ransomwarea. Čini se da je evolucija zlonamjernog softvera učinila znatno opasnijom izvan vašeg računala: 5 načina da vas Ransomware odvede u budućnost izvan vašeg računala: 5 načina da vas Ransomware uvede u zarobljenost Ransomware je vjerojatno najgori zlonamjeran softver tamo kriminalci koji ga koriste postaju napredniji. Evo pet zabrinjavajućih stvari koje bi uskoro mogle biti uzete kao taoce, uključujući pametne domove i pametne automobile. , te ih prati izmijenjena taktika distribucije, šireći infekciju dalje nego što je ranije vidljivo.

Nisu zabrinuti istraživači sigurnosti samo Locky ransomware. Postoje već i druge inačice Lockyja, a čini se da se distribucijske mreže pojačavaju “proizvodnja” širom svijeta, bez posebne ciljeve na umu.

JavaScript Ransomware

U 2016. godini je došlo do neznatnih pomaka u distribuciji zlonamjernog softvera Ne padajte na prevare: Vodič za otkupninu i druge prijetnje Nemojte pasti lažima: Vodič za otkup softvera i druge prijetnje. Korisnici interneta možda tek počinju razumijevati ekstremne prijeteće otkupne programe, ali to se već počelo razvijati kako bi što dulje ostalo ispod radara..

I iako zlonamjerni softver koji koristi dobro poznate okvire JavaScripta nije neuobičajeno, sigurnosni stručnjaci bili su preplavljeni padom zlonamjernog softvera u prvom kvartalu 2016. godine, što je Eldona Sprickerhoffa navelo da tvrdi:

“Čini se da je evolucija zlonamjernog softvera jednaka i brzi kao u bilo kojem okruženju džungle, gdje opstanak i širenje idu ruku pod ruku. Autori su često kooptirali funkcionalnost iz različitih sojeva zlonamjernog softvera u sljedeću generaciju koda - redovito uzorkujući učinkovitost i profitabilnost svake generacije..”

Pojava ransomwarea kodiranog u JavaScript predstavlja novi izazov za korisnike koji to pokušavaju izbjeći. Prije toga, ako ste slučajno preuzeli ili vam poslali zloćudnu datoteku, Windows će skenirati datotečni nastavak i odlučiti predstavlja li ova vrsta datoteke opasnost za vaš sustav ili ne.

Na primjer, kada pokušavate pokrenuti nepoznato .eXE datoteke, naići ćete na ovo upozorenje:

Ne postoji takvo zadano upozorenje s JavaScript-om .js proširenje datoteke - datoteke, što je dovelo do velikog broja korisnika koji bez razmišljanja kliknu, a zatim se drže za otkupninu.

Botnets i e-pošta od neželjene pošte

Ogromna većina ransomwarea šalje se putem zlonamjernih e-poruka, koje se zauzvrat šalju u ogromnim količinama preko masivne mreže zaraženih računala, koja se obično naziva i “botnet.”

Ogromni porast Locky ransomwarea povezan je izravno s Necrus bonetnetom, koji je zabilježio prosjek 50.000 IP adrese zaražene svaka 24 sata tokom nekoliko mjeseci. Tijekom promatranja (od strane Anubis Networks), stopa infekcije ostala je stalna, sve do 28. ožujkath kad je bio veliki nalet, dosezanje 650.000 infekcije u periodu od 24 sata. Zatim se vratite poslu kao i obično, ali s polako opadajućom stopom infekcije.

1. lipnjast, Necrus je utihnuo. Špekulacije o tome zašto je botnet prošao tišini su male, iako su usredotočene na hapšenje oko 50 ruskih hakera. Međutim, botnet je počeo s radom kasnije tijekom mjeseca (oko 19th Lipnja), slanjem nove varijante Locky milijunima potencijalnih žrtava. Na gornjoj slici možete vidjeti trenutačno širenje Necrus bonetne mreže - zabilježite kako izbjegava Rusiju?

Neželjena e-pošta uvijek sadrži privitak, pretpostavljajući da je to važan dokument ili arhiva poslana s pouzdanog (ali krivotvorenog) računa. Nakon preuzimanja i pristupa dokumentu automatski će pokrenuti zaraženu makronaredbu ili drugu zloćudnu skriptu i započinje proces šifriranja.

Bilo da je riječ o Lockyju, Dridexu, CryptoLockeru ili nekoj od brojnih inačica ransomware virusa, špijunskog softvera, zlonamjernog softvera i sl. Objašnjeno: Razumijevanje internetskih prijetnji virusima, špijunskog softvera, zlonamjernog softvera i sl. Objašnjeno: Razumijevanje internetskih prijetnji Kada počnete razmišljati o svim stvarima koje moglo poći po zlu prilikom pretraživanja interneta, Internet počinje izgledati kao prilično zastrašujuće mjesto. , neželjena e-pošta i dalje je mreža za dostavu ransomwarea, jasno pokazuje koliko je ova metoda isporuke uspješna.

Pojavljuju se novi izazovi: Bart i RAA

JavaScript malware nije jedini pretnji Ransomware nastavlja rast - Kako se možete zaštititi? Ransomware nastavlja rast - kako se možete zaštititi? korisnici će se morati suprotstaviti u narednim mjesecima - iako imam još jedan JavaScript alat za koji ću vam reći!

Prvo gore Bart infekcija koristi neke prilično standardne ransomware tehnike, koristeći slično sučelje za plaćanje kao Locky i cilja glavni popis proširenja datoteka za šifriranje. Međutim, postoji nekoliko ključnih operativnih razlika. Dok većina ransomwarea treba birati dom na naredbeni i upravljački poslužitelj radi zelenog svjetla za enkripciju, Bart nema takav mehanizam.

Umjesto toga, Brendan Griffin i Ronnie Tokazowski iz Phishmea vjeruju da se Bart oslanja na “različit identifikator žrtve kako bi pokazao akteru prijetnje koji ključ za dešifriranje treba upotrijebiti za izradu aplikacije za dešifriranje za koju se pretpostavlja da će biti dostupna onim žrtvama koje plaćaju otkup,” što znači, čak i ako se zaraženi brzo odspoji s Interneta (prije nego što primi tradicionalnu naredbu i kontrolira napred), ransomware će i dalje šifrirati datoteke.

Dvije stvari izdvajaju Barta: dešifriranje tražene cijene i specifični izbor ciljeva. Trenutno stoji 3BTC (bitcoin), što u trenutku pisanja izjednačava s nešto manje od 2000 dolara! Što se tiče izbora meta, zapravo je više tko Bart ne cilj. Ako Bart utvrdi instalirani korisnički jezik ruski, ukrajinski ili bjeloruski, neće se koristiti.

Drugo gore, imamo RAA, još jedna inačica ransomwarea razvijena u potpunosti u JavaScript. RAA čini zanimljivim korištenje zajedničkih JavaScript knjižnica. RAA se distribuira putem zlonamjerne mreže e-pošte, kao što vidimo s većinom ransomwarea, i obično se prerušava u Wordov dokument. Kad se datoteka izvrši, generira lažni Wordov dokument koji je, čini se, u potpunosti oštećen. Umjesto toga, RAA skenira dostupne pogone kako bi provjerio pristup i čitanje i pisanje, a ako bude uspješan, knjižnica Crypto-JS da započne šifriranje korisničkih datoteka.

Da biste dodali uvredu ozljeđivanju, RAA također snosi poznati program za krađu lozinke Pony, samo da bi bili sigurni da ste stvarno, stvarno sjebani.

Kontrola JavaScript zlonamjernog softvera

Srećom, unatoč očitoj prijetnji koju predstavlja zlonamjerni softver temeljen na JavaScript-u, potencijalnu opasnost možemo umanjiti nekim osnovnim sigurnosnim kontrolama i na našim računima e-pošte i u našim Office paketima. Koristim Microsoft Office, pa će se ovi savjeti usredotočiti na te programe, ali iste sigurnosne principe trebali biste primijeniti i na sve aplikacije koje koristite.

Onemogući makronaredbe

Prvo, makronaredbe možete onemogućiti da se automatski pokreću. Makronaredba može sadržavati kôd osmišljen za automatsko preuzimanje i izvršavanje zlonamjernog softvera, a da pritom ne realizirate. Pokazat ću vam kako to učiniti u programu Microsoft Word 2016, ali postupak je relativno sličan za sve ostale Office programe Kako se zaštititi od zlonamjernog softvera Microsoft Word Kako se zaštititi od zlonamjernog softvera Microsoft Word Jeste li znali da se vaše računalo može zaraziti zlonamjernim dokumentima Microsoft Officea ili da bi mogli biti zavedeni u omogućavanju postavki koje trebaju da zaraze vaše računalo? .

Kreni prema Datoteka> Opcije> Centar za pouzdanost> Postavke centra za pouzdanost. Pod, ispod Postavke makronaredbi imate četiri mogućnosti. Ja odlučim Onemogućite sve makronaredbe obavijesti, tako da mogu odabrati pokrenuti ako sam siguran u izvor. Međutim, Microsoft savjetuju odabir Onemogući sve makronaredbe osim makronaredbi s digitalnim potpisom, u izravnom je odnosu s širenjem Locky ransomwarea.

Prikaži proširenja, koristite drugačiji program

Ovo nije u potpunosti pouzdano, ali kombinacija dviju promjena možda će vas spasiti od dvostrukog klika na pogrešnu datoteku.

Prvo, morate omogućiti proširenja datoteka unutar Windows-a koja su prema zadanom skrivena.

U sustavu Windows 10 otvorite prozor Explorera i krenite na Pogled kartica. Ček Proširenja naziva datoteke.

U sustavu Windows 7, 8 ili 8.1 idite na Upravljačka ploča> Izgled i personalizacija> Opcije mape. Ispod Pogled pomaknite se prema dolje Napredne postavke dok ne uočite Sakrij ekstenzije za poznate vrste datoteka.

Ako ste slučajno preuzeli zlonamjernu datoteku prerušenu u nešto drugo, trebali biste moći uočiti proširenje datoteke prije izvršenja.

Drugi dio toga uključuje promjenu zadanog programa koji se koristi za otvaranje JavaScript datoteka. Vidite, kad surađujete s JavaScript-om unutar vašeg preglednika, postoje brojne prepreke i okviri koji pokušavaju zaustaviti bilo kakve zlonamjerne događaje koji provaljuju vaš sustav. Jednom kada se nađete izvan svetosti preglednika i uđete u školjku Windows, mogu se dogoditi loše stvari kada se ta datoteka izvrši.

Kreni prema a .js datoteka. Ako ne znate gdje ili kako, unesite * JS na traci za pretraživanje programa Windows Explorer. Vaš bi se prozor trebao popuniti s sličnim datotekama:

Desnom tipkom miša kliknite datoteku i odaberite Nekretnine. Trenutno se naša JavaScript datoteka otvara s Microsoft Windows Script Host. Pomičite se prema dolje dok ne pronađete blokčić za bilješke i pritisnite u redu.

Dupla provjera

Microsoft Outlook ne dopušta vam primanje datoteka određene vrste. To uključuje i .exe i .js i sprečava vas da nenamjerno unesete zlonamjerni softver na vaše računalo. Međutim, to ne znači da ne mogu i neće klizati kroz oba načina. Postoje tri vrlo jednostavna načina na koje se rakomerni softver može prepakivati:

  • Pomoću kompresije datoteke: zlonamjerni kôd može se arhivirati i šalje se s drugačijim proširenjem datoteke koje ne pokreće Outlookovo integrirano blokiranje privitka.
  • Preimenujte datoteku: često susrećemo zlonamjeran kôd prerušen u drugu vrstu datoteke. Kako većina svijeta koristi neki oblik uredskog paketa, formati dokumenata su izuzetno popularni.
  • Korištenje zajedničkog poslužitelja: ova je opcija malo vjerojatnija, ali ako se ugrozi zlonamjerna pošta s privatnog FTP-a ili sigurnog SharePoint poslužitelja. Kako bi poslužitelj bio na bijeloj listi u programu Outlook, privitak se ne bi shvatio kao zlonamjerni.

Pogledajte ovdje potpuni popis proširenja koje Outlook prema zadanim postavkama blokira.

Stalna budnost

Neću lagati. Postoji sveprisutna prijetnja zlonamjernog softvera kada ste na mreži - ali ne morate podleći pritisku. Razmotrite web stranice koje posjećujete, račune na koje se prijavljujete i e-poruke koje primate. Iako znamo da je antivirusnom softveru teško održati korak s sjajnom verzijom zlonamjernih softvera, njihovo preuzimanje i ažuriranje antivirusnog paketa trebali bi apsolutno biti dio obrane vašeg sustava.

Da li vas je pogodio ransomware? Jeste li dobili svoje datoteke natrag? Koji je ransomware bio? Javite nam što vam se dogodilo!

Slikovni krediti: Necrus botnet infekcija putem malwaretech.com, sučelje za dešifriranje Bart-a i trenutne infekcije po državama putem phishme.com




Još ne komentari

Kratki vodič za dijelove matične ploče i njihove funkcije
Objašnjena tehnologija
7 savjeta za usmjerivanje Svaki igrač treba znati kako bi dobio optimalne performanse
Objašnjena tehnologija
Google Assistant vs Apple Siri Koji je najbolji pametni AI?
Objašnjena tehnologija
O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.