Reklame

Da nye tilfælde af det vidt udbredte Locky ransomware begyndte at udtørre omkring slutningen af ​​maj 2016, sikkerhedsforskere var sikre på, at vi ikke havde set den sidste af den filkrypterende malware variant.

Se og se, de havde ret.

Siden 19. junith sikkerhedseksperter har observeret millioner af ondsindede e-mails sendt med en vedhæftet fil, der indeholder en ny variant af Locky ransomware. Det evolution ser ud til at have gjort malware langt farligere Ud over din computer: 5 måder Ransomware vil tage dig tilbage i fremtidenRansomware er sandsynligvis den vildeste malware derude, og de kriminelle, der bruger det, bliver flere avanceret. Her er fem bekymrende ting, der snart kunne tages som gidsler, herunder smarte hjem og smarte biler. Læs mere , og ledsages af en ændret distributionstaktik, der spreder infektionen videre end tidligere set.

Det er ikke kun Locky ransomware, der bekymrer sikkerhedsforskere. Der har allerede været andre varianter af Locky, og det ser ud til, at distributionsnetværk løber op "produktion" over hele kloden uden særlige mål for øje.

instagram viewer

JavaScript Ransomware

2016 har set et lille skift i distributionen af ​​malware Må ikke falde af svindlere: En guide til Ransomware & andre trusler Læs mere . Internet-brugere er måske bare begyndt at forstå de ekstreme trusler mod ransomware, men det er allerede begyndt at udvikle sig for at forblive under radaren så længe som muligt.

JavaScript Ransomware-filstrøm

Og selvom malware, der bruger kendte JavaScript-rammer, ikke er ualmindelig, blev sikkerhedsfagfolk overvældet med en flod malware i første kvartal af 2016 fører Eldon Sprickerhoff til staten:

”Malware-evolution ser ud til at være lige så hurtig og klodset som ethvert jungelmiljø, hvor overlevelse og forplantning går hånd i hånd. Forfattere har ofte valgt funktionalitet fra forskellige malware-stammer til den næste generation af kode - regelmæssigt udtagning af effektivitet og rentabilitet for hver generation. ”

Fremkomsten af ​​ransomware, der er kodet i JavaScript, udgør en ny udfordring for brugerne at forsøge at undgå. Tidligere, hvis du ved en fejltagelse downloadede eller blev sendt en ondsindet fil, ville Windows scanne filtypenavnet og beslutte, om denne bestemte filtype udgør en fare for dit system eller ej.

For eksempel når du forsøger at køre en ukendt.exe fil, vil du støde på denne advarsel:

Windows Open File Warning Dialogue

Der er ingen sådan standardadvarsel med JavaScript - the .js filtypenavn - filer, hvilket har ført til, at et stort antal brugere klikker uden at tænke, og derefter bliver holdt for løsepenge.

Botnet og spam-e-mail

Langt de fleste ransomware sendes via ondsindede e-mails, som igen sendes i store mængder gennem massive netværk af inficerede computere, der ofte kaldes et "botnet."

Den enorme stigning i Locky ransomware er blevet knyttet direkte til Necrus botnet, som gennemsnittet oplevede 50,000 IP-adresser inficeres hver 24. time i flere måneder. Under observation (af Anubis Networks) forblev infektionsraterne stabile indtil 28. martsth da der var en enorm bølge, nåede 650,000 infektioner over en 24-timers periode. Derefter tilbage til virksomheden som normalt, om end med en langsomt faldende infektionsrate.

Necurs Botnet infektionskort

Den 1. junist, Necrus gik stille. Spekulationer om, hvorfor botnet gik stille er slank, skønt meget centreret omkring arrestation af omkring 50 russiske hackere. Botnet genoptog imidlertid forretningen senere i måneden (omkring 19th juni) og sender den nye Locky-variant til millioner af potentielle ofre. Du kan se den aktuelle spredning af Necrus botnet på ovenstående billede - bemærk, hvordan det undgår Rusland?

Spam-e-mails indeholder altid en vedhæftet fil, der påstås at være et vigtigt dokument eller arkiv sendt fra en betroet (men forfalsket) konto. Når dokumentet er downloadet og åbnet, kører det automatisk en inficeret makro eller andet ondsindet script, og krypteringsprocessen begynder.

Uanset om Locky, Dridex, CryptoLocker eller en af ​​de utallige ransomware-varianter Vira, spyware, malware osv. Forklaret: At forstå trusler onlineNår du begynder at tænke på alle de ting, der kan gå galt, når du surfer på Internettet, begynder internettet at se ud som et temmelig skræmmende sted. Læs mere , spam-e-mail er stadig det valgte leveringsnetværk til ransomware, hvilket tydeligt illustrerer, hvor vellykket denne leveringsmetode er.

Nye udfordrere vises: Bart og RAA

JavaScript-malware er ikke den eneste trussel Ransomware holder sig voksende - Hvordan kan du beskytte dig selv? Læs mere brugere bliver nødt til at kæmpe med i de kommende måneder - selvom jeg har et andet JavaScript-værktøj til at fortælle dig om!

Først op, the Bart infektion udnytter nogle ret standard ransomware-teknikker ved hjælp af en lignende betalingsgrænseflade som Locky og målretning mod en mainstream liste over filtypenavne til kryptering. Der er dog et par vigtige operationelle forskelle. Mens de fleste ransomware har brug for at ringe hjem til en kommando- og kontrolserver for krypteringsgrønt lys, har Bart ingen sådan mekanisme.

Bart Decryptor-købsgrænseflade

I stedet Brendan Griffin og Ronnie Tokazowski fra Phishme tror Bart er afhængig af en ”Distinkt offeridentifikator for at indikere for trusselaktøren hvilken dekrypteringsnøgle, der skal bruges til at oprette dekrypteringsanvendelsen, der påstås at være tilgængelig for de ofre, der betaler løsepenge, ”hvilket betyder, at selvom den inficerede hurtigt kobles fra Internettet (før den traditionelle kommando og kontrol går videre), vil ransomware stadig kryptere filer.

Der er yderligere to ting, der sætter Bart til side: Dets dekrypteringsprisforespørgsel og sit specifikke valg af mål. Det står i øjeblikket på 3BTC (bitcoin), som i skrivende stund svarer til knap 2000 dollars! Hvad angår et valg af mål, er det faktisk mere, hvem Bart ikke mål. Hvis Bart bestemmer et installeret brugersprog på russisk, ukrainsk eller hviderussisk, installeres det ikke.

Bart-infektioner efter land

For det andet har vi det RAA, en anden ransomware-variant udviklet helt i JavaScript. Hvad der gør RAA interessant er dens brug af almindelige JavaScript-biblioteker. RAA distribueres via et ondsindet e-mail-netværk, som vi ser med de fleste ransomware, og kommer som regel forklædt som et Word-dokument. Når filen udføres genererer den et falsk Word-dokument, der ser ud til at være fuldstændig beskadiget. I stedet scanner RAA de tilgængelige drev for at tjekke for læse- og skriveadgang og, hvis det lykkes, Crypto-JS-biblioteket for at begynde at kryptere brugerens filer.

For at tilføje fornærmelse mod skade bundter RAA også et velkendt kodeord, der stjæler programmet Pony, bare for at sikre dig, at du virkelig er skruet fast.

Kontrol af JavaScript-malware

På trods af den åbenlyse trussel, der er forbundet med JavaScript-baseret malware, kan vi heldigvis afbøde den potentielle fare med nogle grundlæggende sikkerhedskontroller i både vores e-mail-konti og vores Office-suiter. Jeg bruger Microsoft Office, så disse tip vil fokusere på disse programmer, men du skal anvende de samme sikkerhedsprincipper på dine applikationer, du bruger.

Deaktiver makroer

Først kan du deaktivere makroer fra at køre automatisk. En makro kan indeholde kode designet til automatisk at downloade og udføre malware, uden at du ved det. Jeg viser dig, hvordan du gør dette i Microsoft Word 2016, men processen er relativt ens for alle andre Office-programmer Sådan beskytter du dig mod Microsoft Word MalwareVidste du, at din computer kan blive inficeret af ondsindede Microsoft Office-dokumenter, eller at du kunne blive dyppet til at aktivere de indstillinger, de har brug for at inficere din computer? Læs mere .

Gå til File> Options> Trust Center> Trust Center Settings. Under Makroindstillinger du har fire muligheder. Jeg vælger at Deaktiver alle makroer med anmeldelse, så jeg kan vælge at køre det, hvis jeg er sikker på kilden. Imidlertid, Microsoft rådgiver om valgDeaktiver alle makroer undtagen digitalt signerede makroer, i direkte forhold til spredningen af ​​Locky ransomware.

Word 2016 makroindstillinger

Vis udvidelser, brug forskellige programmer

Dette er ikke helt idiotsikkert, men kombinationen af ​​de to ændringer vil måske spare dig for at dobbeltklikke på den forkerte fil.

Først skal du aktivere filtypenavne i Windows, som som standard er skjult.

I Windows 10 skal du åbne et Explorer-vindue og gå til Udsigt fane. Kontrollere Udvidelser af filnavn.

I Windows 7, 8 eller 8.1 skal du gå til Kontrolpanel> Udseende og personalisering> Mappeindstillinger. Under Udsigt fanen, rulle nedad Avancerede indstillinger indtil du ser Skjul udvidelser for kendte filtyper.

show-skjult-files.png

Hvis du ved en fejltagelse henter en ondsindet fil, der er forklædt som noget andet, skal du være i stand til at få øje på filtypenavnet før udførelsen.

Den anden del af dette involverer ændring af standardprogrammet, der bruges til at åbne JavaScript-filer. Du kan se, når du beskæftiger dig med JavaScript i din browser, der er et antal barrierer og rammer på plads for at forsøge at forhindre, at ondsindede begivenheder hærger dit system. Når du er uden for browsens hellighed og i Windows-shell, kan der ske dårlige ting, når denne fil udføres.

Windows 10 JavaScript-automatisk applikationsvalg

Gå til en .js fil. Hvis du ikke ved, hvor eller hvordan, skal du indtaste * .js i Windows Stifinder søgefeltet. Dit vindue skal udfyldes med filer, der ligner dette:

Højreklik på en fil, og vælg Ejendomme. I øjeblikket åbnes vores JavaScript-fil med Microsoft Windows Based Script Host. Rul ned, indtil du finder det notepad og tryk på Okay.

Dobbeltjek

Microsoft Outlook lader dig ikke modtage filer af en bestemt type. Dette inkluderer både .exe og .js, og er til at forhindre dig uforvarende at introducere malware til din computer. Det betyder dog ikke, at de ikke kan og vil glide gennem begge andre midler. Der er tre ekstremt lette måder, hvor ransomware kan pakkes igen:

  • Brug af filkomprimering: den ondsindede kode kan arkiveres og sendes med en anden filtypenavn, der ikke udløser Outlook's integrerede vedhæftningsblokering.
  • Omdøb filen: Vi støder ofte på ondsindet kode, der er forklædt som en anden filtype. Da det meste af verden bruger en form for kontorpakke, er dokumentformater ekstremt populære.
  • Brug af en delt server: Denne mulighed er lidt mindre sandsynlig, men ondsindet e-mail kan sendes fra en privat FTP eller sikker SharePoint-server, hvis det går på kompromis. Da serveren ville blive hvidlistet i Outlook, vil vedhæftningen ikke blive hentet som ondsindet.

Se her for en komplet liste hvoraf udvidelser Outlook blokerer som standard.

Konstant årvågenhed

Jeg vil ikke lyve. Der er en allestedsnærværende trussel om malware, når du er online - men du behøver ikke at bukke under for presset. Overvej de websteder, du besøger, de konti, du tilmelder dig, og de e-mails, du modtager. Og selvom vi ved, at det er vanskeligt for antivirus-software at holde trit med den blændende vifte af malware varianter, der er udnyttet, downloading og opdatering af en antivirus-pakke, skal absolut udgøre en del af dit system forsvar.

Er du blevet ramt af ransomware? Fik du dine filer tilbage? Hvilken løseprogram var det? Fortæl os, hvad der skete med dig!

Billedkreditter: Necrus botnet infektion kort via malwaretech.com, Bart dekrypteringsgrænseflade og Aktuelle infektioner efter land begge via phishme.com

Gavin er seniorforfatter for MUO. Han er også redaktør og SEO Manager for MakeUseOfs kryptofokuserede søsterside, Blocks Decoded. Han har en BA (Hons) samtidsskrivning med digital kunstpraksis, der er pilleret fra bjergene i Devon, samt over et årti med professionel skriftlig erfaring. Han nyder rigelige mængder te.