Ihre neue Sicherheitsbedrohung für 2016 JavaScript Ransomware
Als Ende Mai 2016 neue Instanzen der weit verbreiteten Locky-Ransomware versiegten, waren sich Sicherheitsforscher sicher, dass wir die letzte Variante der dateiverschlüsselnden Malware-Variante nicht gesehen hatten.
Und siehe da, sie hatten recht.
Seit dem 19. Junith Sicherheitsexperten haben Millionen von schädlichen E-Mail-Nachrichten beobachtet, die mit einem Anhang gesendet wurden, der eine neue Variante der Locky-Ransomware enthält. Die Evolution hat die Malware anscheinend erheblich gefährlicher gemacht. Beyond your Computer: 5 Wege, auf denen Ransomware Sie in der Zukunft gefangen nimmt. Jenseits Ihres Computers: 5 Wege, auf denen Ransomware Sie in der Zukunft gefangen nehmen wird Verbrecher, die es verwenden, werden immer weiter entwickelt. Hier sind fünf besorgniserregende Dinge, die bald als Geiseln genommen werden könnten, darunter intelligente Häuser und intelligente Autos. Lesen Sie mehr und werden von einer veränderten Verteilungstaktik begleitet, die die Infektion weiter verbreitet als bisher.
Nicht nur die Locky Ransomware macht Sicherheitsforschern Sorgen. Es gab bereits andere Varianten von Locky, und es scheint, dass die Vertriebsnetze ansteigen “Produktion” auf der ganzen Welt ohne besondere Ziele.
JavaScript Ransomware
2016 hat sich die Malware-Verteilung leicht verändert. Fallen Sie nicht vor den Betrügern an: Ein Leitfaden für Ransomware und andere Bedrohungen Fallen Sie nicht unter den Betrügern: Ein Leitfaden für Ransomware und andere Bedrohungen Lesen Sie weiter. Die Internetbenutzer werden möglicherweise erst anfangen, die extremen Bedrohungen durch Ransomware zu verstehen, aber sie haben sich bereits entwickelt, um so lange wie möglich unter dem Radar zu bleiben.
Auch wenn Malware mit bekannten JavaScript-Frameworks keine Seltenheit ist, waren die Sicherheitsexperten im ersten Quartal 2016 mit einer Flut von Malware überhäuft, und Eldon Sprickerhoff erklärte dazu:
“Die Entwicklung von Malware scheint so schnell und unkompliziert zu sein wie jede Dschungelumgebung, in der Überleben und Ausbreitung Hand in Hand gehen. Autoren haben häufig die Funktionalität verschiedener Malware-Stämme für die nächste Generation von Code übernommen - regelmäßig die Effizienz und Rentabilität jeder Generation.”
Das Aufkommen von Ransomware, die in JavaScript codiert ist, stellt Benutzer vor neue Herausforderungen. Wenn Sie versehentlich heruntergeladen oder eine schädliche Datei gesendet haben, scannt Windows die Dateierweiterung und entscheidet, ob dieser bestimmte Dateityp eine Gefahr für Ihr System darstellt.
Zum Beispiel, wenn Sie versuchen, eine unbekannte auszuführen .exe Datei, werden Sie auf diese Warnung stoßen:
Bei JavaScript gibt es keine solche Standardwarnung - die .js Dateierweiterung - Dateien, die dazu geführt haben, dass eine gewaltige Anzahl von Benutzern geklickt wird, ohne zu überlegen, und dann als Lösegeld gehalten wird.
Botnets und Spam E-Mail
Die überwiegende Mehrheit der Ransomware wird über bösartige E-Mails gesendet, die wiederum in riesigen Mengen über massive Netzwerke infizierter Computer gesendet werden, die üblicherweise als a bezeichnet werden “Botnet.”
Der enorme Anstieg der Locky-Ransomware wurde direkt mit dem Necrus-Botnetz verbunden, das durchschnittlich einen Durchschnitt erreichte 50.000 IP-Adressen über mehrere Monate alle 24 Stunden infiziert. Während der Beobachtung (von Anubis Networks) blieben die Infektionsraten bis zum 28. März konstantth als es einen großen Anstieg gab, zu erreichen 650.000 Infektionen über einen Zeitraum von 24 Stunden. Dann wieder ganz normal, wenn auch mit einer langsam abnehmenden Infektionsrate.
Am 1. Junist, Necrus verstummte. Spekulationen darüber, warum das Botnet verstummt ist, sind gering, obwohl es im Wesentlichen um die Verhaftung von rund 50 russischen Hackern ging. Das Botnet nahm jedoch später im Monat (um den 19th Juni), die neue Locky-Variante an Millionen potenzieller Opfer schickt. Sie können die aktuelle Ausbreitung des Necrus-Botnetzes in der obigen Abbildung sehen - beachten Sie, wie Russland vermieden wird?
Die Spam-E-Mails enthalten immer einen Anhang, der vorgibt, ein wichtiges Dokument oder Archiv zu sein, das von einem vertrauenswürdigen (aber gefälschten) Konto gesendet wird. Sobald das Dokument heruntergeladen und abgerufen wurde, wird automatisch ein infiziertes Makro oder ein anderes schädliches Skript ausgeführt, und der Verschlüsselungsprozess beginnt.
Ob Locky, Dridex, CryptoLocker oder eine der unzähligen Ransomware-Varianten Viren, Spyware, Malware usw. Erklärt: Grundlegendes zu Online-Bedrohungen Viren, Spyware, Malware usw. Erklärt: Grundlegendes zu Online-Bedrohungen Wenn Sie anfangen, über all diese Dinge nachzudenken Wenn beim Surfen im Internet etwas schief geht, sieht das Internet aus wie ein ziemlich unheimlicher Ort. Lesen Sie mehr, Spam-E-Mail ist nach wie vor das bevorzugte Zustellungsnetzwerk für Ransomware. Dies zeigt deutlich, wie erfolgreich diese Zustellmethode ist.
Neue Herausforderer erscheinen: Bart und RAA
JavaScript ist nicht die einzige Bedrohung durch Ransomware. Ransomware wächst weiter. Wie können Sie sich schützen? Ransomware wächst weiter - wie können Sie sich schützen? Lesen Sie mehr Benutzer werden in den kommenden Monaten damit zu kämpfen haben - obwohl ich Ihnen ein anderes JavaScript-Tool zur Verfügung stellen kann!
Zunächst einmal die Bart Infection nutzt einige ziemlich standardisierte Ransomware-Techniken, nutzt eine ähnliche Zahlungsschnittstelle wie Locky und zielt auf eine Mainstream-Liste von Dateierweiterungen für die Verschlüsselung. Es gibt jedoch einige wichtige betriebliche Unterschiede. Während die meisten Ransomware für das grüne Licht der Verschlüsselung zu einem Befehls- und Kontrollserver anrufen müssen, verfügt Bart über keinen solchen Mechanismus.
Stattdessen glauben Brendan Griffin und Ronnie Tokazowski von Phishme, dass Bart sich auf a “eine eindeutige Kennung des Opfers, um dem Bedrohungsschauspieler mitzuteilen, welcher Entschlüsselungsschlüssel verwendet werden sollte, um die Entschlüsselungsanwendung zu erstellen, die angeblich den Opfern zur Verfügung steht, die das Lösegeld zahlen,” Das bedeutet, auch wenn die infizierten Personen schnell vom Internet getrennt werden (bevor sie die üblichen Befehle zur Steuerung von Befehlen und Kontrollen erhalten), verschlüsselt die Ransomware die Dateien trotzdem.
Es gibt zwei weitere Dinge, die Bart beiseite stellen: der Preis für die Entschlüsselung und die Auswahl der Ziele. Es steht derzeit bei 3BTC (Bitcoin), was zum Zeitpunkt des Schreibens knapp 2000 $ entspricht! Bei der Auswahl der Ziele ist es eigentlich mehr, wer Bart tut nicht Ziel. Wenn Bart eine installierte Benutzersprache für Russisch, Ukrainisch oder Weißrussisch feststellt, wird er nicht implementiert.
Zweitens haben wir RAA, eine andere Ransomware-Variante, die vollständig in JavaScript entwickelt wurde. Was RAA interessant macht, ist die Verwendung gängiger JavaScript-Bibliotheken. RAA wird über ein schädliches E-Mail-Netzwerk verteilt, wie wir es bei den meisten Ransomware sehen, und wird normalerweise als Word-Dokument getarnt. Wenn die Datei ausgeführt wird, wird ein falsches Word-Dokument generiert, das vollständig beschädigt zu sein scheint. Stattdessen durchsucht RAA die verfügbaren Laufwerke, um den Lese- und Schreibzugriff zu prüfen, und bei Erfolg die Crypto-JS-Bibliothek, um die Dateien des Benutzers zu verschlüsseln.
Um die Verletzung zu beleidigen, bündelt RAA außerdem das bekannte Passwort-Diebstahl-Programm Pony, um sicherzustellen, dass Sie wirklich, wirklich vermasselt sind.
JavaScript-Malware steuern
Glücklicherweise können wir trotz der offensichtlichen Bedrohung durch JavaScript-basierte Malware die potenzielle Gefahr durch einige grundlegende Sicherheitskontrollen sowohl in unseren E-Mail-Konten als auch in unseren Office-Suiten verringern. Ich verwende Microsoft Office, daher konzentrieren sich diese Tipps auf diese Programme. Sie sollten jedoch auf die von Ihnen verwendeten Anwendungen dieselben Sicherheitsgrundsätze anwenden.
Deaktivieren Sie Makros
Erstens können Sie die automatische Ausführung von Makros deaktivieren. Ein Makro kann Code enthalten, mit dem Malware automatisch heruntergeladen und ausgeführt werden kann, ohne dass Sie es merken. Ich zeige Ihnen, wie Sie dies in Microsoft Word 2016 tun, aber der Vorgang ist für alle anderen Office-Programme relativ ähnlich. Wie schützen Sie sich vor Microsoft Word-Malware? Wie schützen Sie sich vor Microsoft Word-Malware? Wussten Sie, dass Ihr Computer infiziert sein kann? durch bösartige Microsoft Office-Dokumente oder dass Sie dazu gebracht werden könnten, die erforderlichen Einstellungen zu aktivieren, um Ihren Computer zu infizieren? Weiterlesen .
Geh zu Datei> Optionen> Vertrauensstellungscenter> Vertrauensstellungscenter-Einstellungen. Unter Makro-Einstellungen Sie haben vier Möglichkeiten. Ich entscheide mich dafür Deaktivieren Sie alle Makros mit Benachrichtigung, Ich kann es also ausführen, wenn ich mir der Quelle sicher bin. Microsoft empfiehlt jedoch die Auswahl Deaktivieren Sie alle Makros außer digital signierte Makros, in direktem Zusammenhang mit der Verbreitung der Locky Ransomware.
Erweiterungen anzeigen, anderes Programm verwenden
Dies ist nicht völlig idiotensicher, aber durch die Kombination der beiden Änderungen können Sie möglicherweise den Doppelklick auf die falsche Datei vermeiden.
Zunächst müssen Sie Dateierweiterungen in Windows aktivieren, die standardmäßig ausgeblendet sind.
Öffnen Sie in Windows 10 ein Explorer-Fenster und navigieren Sie zum Aussicht Tab. Prüfen Dateinamenerweiterungen.
Unter Windows 7, 8 oder 8.1 gehen Sie zu Systemsteuerung> Darstellung und Anpassung> Ordneroptionen. Unter dem Aussicht Tab, scrollen Sie nach unten Erweiterte Einstellungen bis du sie entdeckst Erweiterungen für bekannte Dateitypen verbergen.
Wenn Sie versehentlich eine als etwas anderes getarnte bösartige Datei herunterladen, sollten Sie die Dateierweiterung vor der Ausführung erkennen können.
Der zweite Teil umfasst das Ändern des Standardprogramms zum Öffnen von JavaScript-Dateien. Wenn Sie sich in Ihrem Browser mit JavaScript auseinandersetzen, gibt es eine Reihe von Hindernissen und Rahmenbedingungen, mit denen Sie versuchen können, böswillige Ereignisse an Ihrem System zu hindern. Wenn Sie sich außerhalb des Schutzbereichs des Browsers und in der Windows-Shell befinden, können beim Ausführen der Datei schlechte Dinge passieren.
Gehen Sie zu einem .js Datei. Wenn Sie nicht wissen wo und wie, geben Sie ein * .js in die Windows Explorer-Suchleiste. Ihr Fenster sollte mit ähnlichen Dateien gefüllt sein:
Klicken Sie mit der rechten Maustaste auf eine Datei und wählen Sie aus Eigenschaften. Momentan wird unsere JavaScript-Datei mit Microsoft Windows Based Script Host geöffnet. Scrollen Sie nach unten, bis Sie gefunden haben Notizblock und drücke OK.
Überprüfen
Mit Microsoft Outlook können Sie keine Dateien eines bestimmten Typs empfangen. Dies umfasst sowohl die EXE- als auch die .js-Datei und soll verhindern, dass Sie versehentlich Malware auf Ihrem Computer installieren. Das bedeutet jedoch nicht, dass sie nicht beide Möglichkeiten nutzen können und wollen. Es gibt drei sehr einfache Möglichkeiten, Ransomware neu zu verpacken:
- Dateikomprimierung verwenden: Der bösartige Code kann archiviert werden und wird mit einer anderen Dateierweiterung gesendet, die die Blockierung der integrierten Anhänge nicht auslöst.
- Benennen Sie die Datei um: Wir stoßen häufig auf schädlichen Code, der als anderer Dateityp getarnt ist. Da der Großteil der Welt eine Form von Office-Suite verwendet, sind Dokumentformate äußerst beliebt.
- Verwenden eines freigegebenen Servers: Diese Option ist etwas unwahrscheinlicher, jedoch können bösartige E-Mails von einem privaten FTP-Server oder einem sicheren SharePoint-Server gesendet werden, wenn sie gefährdet sind. Da der Server in Outlook auf die Positivliste gesetzt wird, wird der Anhang nicht als schädlich eingestuft.
Eine vollständige Liste der Erweiterungen, die Outlook standardmäßig blockiert, finden Sie hier.
Ständige Wachsamkeit
Ich werde nicht lügen. Wenn Sie online sind, gibt es eine allgegenwärtige Bedrohung durch Malware. Sie müssen jedoch nicht unter Druck geraten. Berücksichtigen Sie die Websites, die Sie besuchen, die Konten, bei denen Sie sich anmelden, und die E-Mails, die Sie erhalten. Auch wenn wir wissen, dass es für Antivirensoftware schwierig ist, mit den schillernden Malware-Varianten Schritt zu halten, ist das Herunterladen und Aktualisieren einer Antiviren-Suite unbedingt Teil Ihrer Systemverteidigung.
Wurden Sie von Ransomware getroffen? Hast du deine Dateien zurückbekommen? Welche Ransomware war es? Lassen Sie uns wissen, was mit Ihnen passiert ist!
Bildnachweise: Necrus-Botnet-Infektionskarte über Malwaretech.com, Bart-Entschlüsselungsschnittstelle und Aktuelle Infektionen nach Land über Phishme.com
Erfahren Sie mehr über: JavaScript, Microsoft Office 2016, Ransomware.