La tua nuova minaccia per la sicurezza 2016 JavaScript Ransomware

La tua nuova minaccia per la sicurezza 2016 JavaScript Ransomware / Sicurezza

Quando le nuove istanze del Locky ransomware ampiamente distribuito iniziarono a prosciugarsi verso la fine di maggio 2016, i ricercatori della sicurezza erano certi di non aver visto l'ultima variante di malware per la crittografia dei file.

Ecco, avevano ragione.

Dal 19 giugnoesimo esperti di sicurezza hanno osservato milioni di messaggi e-mail maligni inviati con un allegato contenente una nuova variante di Locky ransomware. L'evoluzione sembra aver reso il malware molto più pericoloso Beyond Your Computer: 5 modi Ransomware ti porterà prigioniero in futuro oltre il tuo computer: 5 modi Ransomware ti porterà prigioniero nel futuro Ransomware è probabilmente il malware più brutto in circolazione, e il i criminali che la usano stanno diventando più avanzati, ecco cinque cose preoccupanti che potrebbero essere prese in ostaggio presto, comprese case intelligenti e auto intelligenti. Leggi di più, e sono accompagnati da una tattica di distribuzione alterata, diffondendo l'infezione più di quanto visto in precedenza.

Non sono solo i ricercatori di sicurezza preoccupati di Locky ransomware. Ci sono già state altre varianti di Locky e sembra che le reti di distribuzione stiano crescendo “produzione” in tutto il mondo, senza alcun obiettivo particolare in mente.

JavaScript Ransomware

Il 2016 ha visto un leggero cambiamento nella distribuzione di malware. Non farti ingannare dagli scammer: una guida al ransomware e altre minacce non farti scappare dagli scammer: una guida al ransomware e altre minacce Ulteriori informazioni. Gli utenti di Internet possono solo iniziare a capire la minaccia estrema del ransomware, ma ha già iniziato a evolversi, per rimanere sotto il radar il più a lungo possibile.

E mentre il malware che utilizza i ben noti framework JavaScript non è raro, i professionisti della sicurezza sono stati travolti da un diluvio di malware nel primo trimestre del 2016 che ha portato Eldon Sprickerhoff a dichiarare:

“L'evoluzione del malware sembra essere rapida e spietata come qualsiasi ambiente della giungla, dove sopravvivenza e propagazione vanno di pari passo. Gli autori hanno spesso cooptato la funzionalità di ceppi di malware diversi nella prossima generazione di codice, campionando regolarmente l'efficacia e la redditività di ogni generazione.”

L'avvento del ransomware codificato in JavaScript rappresenta una nuova sfida per gli utenti che cercano di evitare. In precedenza, se si scaricava accidentalmente o si inviava un file dannoso, Windows eseguiva la scansione dell'estensione del file e decide se questo particolare tipo di file rappresenta un pericolo per il sistema..

Ad esempio, quando si tenta di eseguire uno sconosciuto .EXE file, troverai questo avviso:

Non esiste un avviso di default con JavaScript - il .js estensione del file - file, che ha portato a un numero enorme di utenti che fanno clic senza pensare, quindi vengono trattenuti per ottenere un riscatto.

Email su botnet e spam

La stragrande maggioranza dei ransomware viene inviata tramite e-mail maligne, che a loro volta vengono inviate in enormi volumi attraverso enormi reti di computer infetti, comunemente indicati come “botnet.”

L'enorme aumento di Locky ransomware è stato collegato direttamente alla botnet Necrus, che ha visto una media di 50.000 Indirizzi IP infettati ogni 24 ore per diversi mesi. Durante l'osservazione (di Anubis Networks), i tassi di infezione sono rimasti costanti fino al 28 marzoesimo quando ci fu un'impennata, raggiungendo 650.000 infezioni nel corso di un periodo di 24 ore. Quindi, tornare al business come al solito, anche se con un tasso di infezione lentamente in calo.

Il 1 giugnost, Necrus divenne silenzioso. La speculazione sul motivo per cui la botnet è diventata silenziosa è sottile, anche se molto incentrata sull'arresto di circa 50 hacker russi. Tuttavia, il botnet ha ripreso gli affari più tardi nel mese (intorno ai 19esimo Giugno), inviando la nuova variante di Locky a milioni di potenziali vittime. Puoi vedere l'attuale diffusione della botnet Necrus nell'immagine sopra - osserva come evita la Russia?

Le e-mail di spam contengono sempre un allegato, che pretende di essere un documento importante o un archivio inviato da un account attendibile (ma falsificato). Una volta scaricato e acceduto, il documento eseguirà automaticamente una macro infetta o altri script dannosi e inizierà il processo di crittografia.

Sia Locky, Dridex, CryptoLocker, o una delle miriadi di varianti ransomware Virus, Spyware, Malware, ecc. Spiegato: Comprendere le minacce online Virus, spyware, malware, ecc. Spiegato: Comprendere le minacce online Quando inizi a pensare a tutte le cose che potrebbe andare storto quando si naviga in Internet, il web inizia a sembrare un posto piuttosto spaventoso. Per saperne di più, l'e-mail di spam è ancora la rete di consegna scelta per il ransomware, illustrando chiaramente quanto successo abbia questo metodo di consegna.

Appaiono nuovi sfidanti: Bart e RAA

Il malware JavaScript non è l'unica minaccia che il Ransomware continua a far crescere - Come puoi proteggerti? Il ransomware continua a crescere - Come puoi proteggerti? Leggi Altri utenti dovranno fare i conti nei prossimi mesi - sebbene io abbia un altro strumento JavaScript di cui parlarti!

Primo, il Bart l'infezione sfrutta alcune tecniche ransomware piuttosto standard, utilizzando un'interfaccia di pagamento simile a Locky e indirizzando un elenco di estensioni di file per la crittografia. Tuttavia, ci sono un paio di differenze operative chiave. Mentre la maggior parte dei ransomware ha bisogno di chiamare a casa un server di comando e controllo per la luce verde della crittografia, Bart non ha un tale meccanismo.

Invece, Brendan Griffin e Ronnie Tokazowski di Phishme credono che Bart si affidi a “identificatore di vittima distinto per indicare all'attore della minaccia quale chiave di decrittografia deve essere utilizzata per creare l'applicazione di decrittografia che si presume sia disponibile per le vittime che pagano il riscatto,” il che significa che anche se l'infetto viene rapidamente disconnesso da Internet (prima di ricevere il comando tradizionale e il controllo avanzato), il ransomware continuerà a crittografare i file.

Ci sono altre due cose che mettono da parte Bart: la sua decrittazione chiede prezzo e la sua specifica scelta di obiettivi. Attualmente si trova in 3BTC (bitcoin), che al momento della scrittura equivale a poco meno di $ 2000! Per quanto riguarda una scelta di obiettivi, in realtà è più che Bart non lo fa bersaglio. Se Bart determina una lingua utente installata di russo, ucraino o bielorusso, non verrà distribuita.

Secondo, abbiamo RAA, un'altra variante ransomware sviluppata interamente in JavaScript. Ciò che rende RAA interessante è l'uso di librerie JavaScript comuni. RAA è distribuito attraverso una rete di posta elettronica dannosa, come vediamo con la maggior parte dei ransomware, e di solito viene camuffato come un documento di Word. Quando il file viene eseguito, genera un documento Word falso che sembra essere completamente corrotto. Invece, RAA analizza le unità disponibili per verificare l'accesso in lettura e scrittura e, in caso affermativo, la libreria Crypto-JS per iniziare a crittografare i file dell'utente.

Per aggiungere la beffa al danno, RAA mette anche in bundle il noto programma per il furto di password Pony, giusto per assicurarti di essere davvero, davvero fregato.

Controllo del malware JavaScript

Fortunatamente, nonostante l'ovvia minaccia rappresentata dal malware basato su JavaScript, siamo in grado di mitigare il potenziale pericolo con alcuni controlli di sicurezza di base nei nostri account e-mail e nelle nostre suite Office. Io uso Microsoft Office, quindi questi suggerimenti si concentreranno su quei programmi, ma dovresti applicare gli stessi principi di sicurezza alle tue applicazioni che usi.

Disabilita i macro

Innanzitutto, è possibile disabilitare l'esecuzione automatica dei macro. Una macro può contenere codice progettato per scaricare ed eseguire automaticamente malware, senza che tu te ne accorga. Ti mostrerò come farlo in Microsoft Word 2016, ma il processo è relativamente simile per tutti gli altri programmi di Office Come proteggersi dai malware Microsoft Word Come proteggersi dai malware Microsoft Word Sapevi che il tuo computer può essere infetto da documenti Microsoft Office dannosi o che potresti essere ingannato per abilitare le impostazioni di cui hanno bisogno per infettare il tuo computer? Leggi di più .

Testa a File> Opzioni> Centro protezione> Impostazioni Centro protezione. Sotto Impostazioni macro hai quattro opzioni. Ho scelto di Disabilita tutte le macro con notifica, quindi posso scegliere di eseguirlo se sono sicuro della fonte. Tuttavia, Microsoft consiglia di selezionare Disabilita tutte le macro tranne le macro con firma digitale, in diretta relazione con la diffusione del Locky ransomware.

Mostra estensioni, usa un programma diverso

Questo non è del tutto infallibile, ma la combinazione delle due modifiche forse ti salverà dal doppio clic sul file sbagliato.

Innanzitutto, è necessario abilitare le estensioni di file all'interno di Windows, che sono nascoste per impostazione predefinita.

In Windows 10, apri una finestra di Explorer e vai al vista scheda. Dai un'occhiata Estensioni dei nomi di file.

In Windows 7, 8 o 8.1, dirigersi verso Pannello di controllo> Aspetto e personalizzazione> Opzioni cartella. Sotto il vista scheda, scorrere verso il basso Impostazioni avanzate fino a che non vedi Nascondi le estensioni per i tipi di file conosciuti.

Se scarichi accidentalmente un file dannoso camuffato come qualcos'altro, dovresti essere in grado di individuare l'estensione del file prima dell'esecuzione.

La seconda parte riguarda la modifica del programma predefinito utilizzato per aprire i file JavaScript. Vedete, quando si interagisce con JavaScript nel proprio browser, ci sono una serie di barriere e strutture per tentare di impedire che eventi dannosi distruggano il sistema. Una volta fuori dalla sacralità del browser e nella shell di Windows, possono accadere cose brutte quando il file viene eseguito.

Dirigersi verso a .js file. Se non sai dove o come, entra * .js nella barra di ricerca di Windows Explorer. La tua finestra dovrebbe riempirsi di file simili a questo:

Fare clic con il tasto destro su un file e selezionare Proprietà. Al momento il nostro file JavaScript si apre con Microsoft Script Host basato su Microsoft Windows. Scorri verso il basso finché non lo trovi Bloc notes e premere ok.

Doppio controllo

Microsoft Outlook non ti consente di ricevere file di un certo tipo. Questo include sia .exe che .js e serve per impedirti di introdurre inavvertitamente malware sul tuo computer. Tuttavia, ciò non significa che non possono e non scivoleranno attraverso entrambi gli altri mezzi. Esistono tre modi estremamente semplici per riorganizzare il ransomware:

  • Utilizzando la compressione dei file: il codice dannoso può essere archiviato e viene inviato con un'estensione di file diversa che non attiva il blocco degli allegati integrato di Outlook.
  • Rinominare il file: riscontriamo spesso codice malevolo camuffato come un altro tipo di file. Poiché la maggior parte del mondo utilizza una qualche forma di suite per ufficio, i formati dei documenti sono estremamente popolari.
  • Utilizzando un server condiviso: questa opzione è un po 'meno probabile, ma la posta dannosa può essere inviata da un FTP privato o server SharePoint sicuro se compromessa. Poiché il server sarebbe stato autorizzato in Outlook, l'allegato non sarebbe stato rilevato come dannoso.

Vedi qui per un elenco completo delle estensioni che Outlook blocca di default.

Vigilanza costante

Non ho intenzione di mentire. C'è una minaccia onnipresente di malware quando sei online, ma non devi soccombere alla pressione. Considera i siti che stai visitando, gli account che stai registrando e le email che ricevi. E anche se sappiamo che è difficile per i software antivirus stare al passo con l'incredibile gamma di varianti di malware sfornate, il download e l'aggiornamento di una suite antivirus dovrebbero assolutamente far parte del sistema di difesa.

Sei stato colpito da ransomware? Hai recuperato i tuoi file? Quale ransomware era? Facci sapere cosa ti è successo!

Crediti immagine: Mappa delle infezioni botnet Necrus via malwaretech.com, interfaccia di decifrazione Bart e infezioni correnti per paese sia tramite phishme.com

Scopri di più su: JavaScript, Microsoft Office 2016, Ransomware.