Безопасность

Ваша новая угроза безопасности на 2016 год: JavaScript Ransomware

Ваша новая угроза безопасности на 2016 год: JavaScript Ransomware

Когда в конце мая 2016 года новые экземпляры широко распространенного программного обеспечения Locky Ransomware начали высыхать, исследователи безопасности были уверены, что мы не видели последний вариант вредоносного кода с шифрованием файлов.

Разблокируйте шпаргалку «Основные ярлыки Microsoft Office» прямо сейчас!

Это подпишет вас на нашу рассылку

Введите адрес электронной почты

И вот, они были правы.

С 19 июня эксперты по безопасности наблюдали миллионы вредоносных сообщений электронной почты, отправленных с вложением, содержащим новый вариант вымогателей Locky. Похоже, что эволюция сделала вредоносное ПО гораздо более опасным за , и они сопровождаются измененной тактикой распространения, распространяя инфекцию дальше, чем раньше.

Это не просто вымогатель Локи, беспокоящий исследователей безопасности. Уже были другие варианты Locky, и, похоже, дистрибьюторские сети наращивают «производство» по всему миру, без каких-либо конкретных целей.

JavaScript вымогателей

В 2016 году произошел небольшой сдвиг в распространении вредоносного ПО « Интернет-пользователи, возможно, только начинают понимать крайние позы вымогателей, но они уже начали развиваться, чтобы оставаться под радаром как можно дольше.

Поток файлов вымогателей JavaScript

И хотя вредоносные программы, использующие хорошо известные JavaScript-фреймворки, нередки, профессионалы в области безопасности были поражены потоком вредоносных программ в первом квартале 2016 года, что заставило Элдона Сприккерхоффа заявить :

«Эволюция вредоносных программ кажется такой же быстрой и беспощадной, как и любая среда джунглей, где выживание и распространение неразрывно связаны друг с другом. Авторы часто объединяют функциональность из разных вредоносных программ в следующем поколении кода — регулярно проверяя эффективность и прибыльность каждого поколения ».

Появление вымогателей, закодированных в JavaScript, представляет собой новую проблему, которую пользователи пытаются избежать. Ранее, если вы случайно загрузили или получили вредоносный файл, Windows сканировала расширение файла и решала, представляет ли этот конкретный тип файла опасность для вашей системы.

Например, при попытке запустить неизвестного. EXE- файл, вы увидите это предупреждение:

Диалог предупреждения об открытии файла Windows

В JavaScript нет такого предупреждения по умолчанию — расширение файла .js — файлы, что привело к тому, что огромное количество пользователей щелкало мышью, а затем удерживалось с целью получения выкупа.

Бот-сети и спам

Подавляющее большинство вымогателей отправляется через вредоносные электронные письма, которые, в свою очередь, отправляются в огромных объемах через огромные сети зараженных компьютеров, обычно называемые «ботнетами».

Огромный рост количества вымогателей Locky был напрямую связан с ботнетом Necrus, в котором в течение нескольких месяцев каждые 500 часов заражалось в среднем 50 000 IP-адресов. Во время наблюдения (Anubis Networks) уровень заражения оставался стабильным до 28 марта, когда произошел огромный скачок, достигший 650 000 случаев заражения за 24-часовой период. Затем вернитесь к нормальной жизни, хотя уровень заболеваемости постепенно снижается.

Карта заражения ботнетом Necurs

1 июня Некрус замолчал. Предположения о том, почему ботнет замолчал, невелики, хотя в основном они связаны с арестом около 50 российских хакеров . Однако ботнет возобновил свою деятельность позднее в этом месяце ( около 19 июня ), отправив новый вариант Locky миллионам потенциальных жертв. Вы можете увидеть текущее распространение ботнета Necrus на изображении выше — обратите внимание, как он избегает Россию?

В спам-письмах всегда содержится вложение, претендующее на звание важного документа или архива, отправленного с доверенного (но поддельного) аккаунта. После загрузки и доступа к документу автоматически запускается зараженный макрос или другой вредоносный скрипт, и начинается процесс шифрования.

Будь то Locky, Dridex, CryptoLocker или один из множества вариантов вымогателей , спам по-прежнему является предпочтительной сетью доставки для вымогателей, наглядно демонстрируя, насколько успешным является этот способ доставки.

Появляются новые претенденты: Барт и РАА

Вредоносные программы JavaScript не единственная угроза пользователям придется бороться в ближайшие месяцы — хотя у меня есть еще один инструмент JavaScript, о котором я расскажу!

Во-первых, инфекция Bart использует некоторые довольно стандартные методы вымогателей, используя интерфейс оплаты, аналогичный Locky, и предназначается для основного списка расширений файлов для шифрования. Однако есть несколько ключевых операционных отличий. В то время как большинству вымогателей необходимо дозвониться домой до сервера управления и контроля для зеленого индикатора шифрования, у Барта нет такого механизма.

Интерфейс покупки Bart Decryptor

Вместо этого Брендан Гриффин и Ронни Токазовски из Phishme полагают, что Барт полагается на «отдельный идентификатор жертвы, указывающий субъекту угрозы, какой ключ дешифрования следует использовать для создания приложения расшифровки, которое должно быть доступно тем жертвам, которые платят выкуп», что означает даже если зараженный быстро отключается от Интернета (до получения традиционного командования и контроля), вымогатель все равно зашифрует файлы.

Есть еще две вещи, которые отбрасывают Барта в сторону: его цена для расшифровки и конкретный выбор целей. В настоящее время он составляет 3BTC (биткойн), что на момент написания составляет чуть менее $ 2000! Что касается выбора целей, то на самом деле больше того, на кого Барт не нацелен. Если Bart определяет установленный пользовательский язык русский, украинский или белорусский, он не будет развертываться.

Барт Инфекция по стране

Во-вторых, у нас есть RAA , еще один вариант вымогателей, полностью разработанный на JavaScript. Что делает RAA интересным, так это использование общих библиотек JavaScript. Как мы видим в большинстве программ-вымогателей, RAA распространяется через вредоносную почтовую сеть и обычно замаскирован под документ Word. Когда файл выполняется, он генерирует поддельный документ Word, который кажется полностью поврежденным. Вместо этого RAA сканирует доступные диски, чтобы проверить доступ на чтение и запись и, в случае успеха, библиотеку Crypto-JS, чтобы начать шифрование файлов пользователя.

Чтобы добавить оскорбление ране, RAA также включает в себя хорошо известную программу кражи паролей Pony, просто чтобы убедиться, что вы действительно, действительно облажались.

Управление вредоносным ПО JavaScript

К счастью, несмотря на очевидную угрозу, создаваемую вредоносными программами на основе JavaScript, мы можем уменьшить потенциальную опасность с помощью некоторых основных мер безопасности как в наших учетных записях электронной почты, так и в наших пакетах Office. Я использую Microsoft Office, поэтому эти советы будут сосредоточены на этих программах, но вы должны применять те же принципы безопасности к любым используемым вами приложениям.

Отключить макросы

Во-первых, вы можете отключить автоматический запуск макросов. Макрос может содержать код, предназначенный для автоматической загрузки и запуска вредоносных программ без вашего ведома. Я покажу вам, как это сделать в Microsoft Word 2016, но этот процесс относительно аналогичен для всех других программ Office.

Перейдите в Файл> Параметры> Центр управления безопасностью> Настройки центра управления безопасностью . В настройках макроса у вас есть четыре варианта. Я выбираю Отключить все макросы с уведомлением , чтобы я мог запустить его, если я уверен в источнике. Однако Microsoft советует выбрать Отключить все макросы, кроме макросов с цифровой подписью , в прямой зависимости от распространения вымогателей Locky.

Настройки макроса Word 2016

Показать расширения, использовать другую программу

Это не совсем надежно, но комбинация двух изменений, возможно, избавит вас от двойного щелчка по неправильному файлу.

Во-первых, вам нужно включить расширения файлов в Windows, которые по умолчанию скрыты.

В Windows 10 откройте окно проводника и перейдите на вкладку « Вид ». Проверьте расширения имени файла .

В Windows 7, 8 или 8.1 перейдите в Панель управления> Оформление и персонализация> Параметры папки . На вкладке « Вид » прокручивайте « Расширенные настройки», пока не выберите « Скрыть расширения» для известных типов файлов .

шоу-скрытых files.png

Если вы случайно загрузили вредоносный файл, замаскированный под что-то другое, вы сможете определить расширение файла перед выполнением.

Вторая часть этого включает изменение программы по умолчанию, используемой для открытия файлов JavaScript. Видите ли, когда вы взаимодействуете с JavaScript в своем браузере, существует ряд барьеров и структур, позволяющих предотвратить любые вредоносные действия, которые могут разрушить вашу систему. Как только вы выйдете за пределы безопасности браузера и попадете в оболочку Windows, при запуске этого файла могут произойти неприятности.

Windows 10 JavaScript автоматический выбор приложения

Перейдите в файл .js . Если вы не знаете, где и как, введите * .js в строку поиска Windows Explorer. Ваше окно должно заполняться файлами, похожими на это:

Щелкните правой кнопкой мыши файл и выберите « Свойства» . На данный момент наш файл JavaScript открывается с помощью Microsoft Windows Based Script Host. Прокрутите вниз, пока не найдете Блокнот и нажмите ОК .

Двойная проверка

Microsoft Outlook не позволяет получать файлы определенного типа. Это касается как .exe, так и .js, и предотвращает непреднамеренное внедрение вредоносных программ на ваш компьютер. Однако это не означает, что они не могут и не будут проскальзывать через оба других средства. Существует три очень простых способа перекомпоновки вымогателей:

  • Использование сжатия файлов : вредоносный код может быть заархивирован и отправлен с другим расширением файла, которое не вызывает встроенную блокировку вложений в Outlook.
  • Переименуйте файл : мы часто сталкиваемся с вредоносным кодом, замаскированным под другой тип файла. Поскольку большая часть мира использует некоторые формы офисного пакета, форматы документов чрезвычайно популярны.
  • Использование общего сервера : этот вариант немного менее вероятен, но в случае компрометации вредоносная почта может отправляться с частного FTP или защищенного сервера SharePoint. Поскольку сервер будет включен в белый список в Outlook, вложение не будет считаться вредоносным.

Смотрите здесь полный список расширений, которые Outlook блокирует по умолчанию.

Постоянная бдительность

Я не собираюсь лгать. В сети существует вездесущая угроза вредоносного ПО, но вам не нужно поддаваться давлению. Рассмотрите сайты, которые вы посещаете, учетные записи, на которые вы подписываетесь, и электронные письма, которые вы получаете. И даже несмотря на то, что мы знаем, что антивирусному программному обеспечению трудно идти в ногу с ослепительным набором вариантов вредоносного ПО, загрузка и обновление антивирусного пакета должны стать частью защиты вашей системы.

Вы пострадали от вымогателей? Вы вернули свои файлы? Какой вымогатель это был? Дайте нам знать, что случилось с вами!

Кредиты изображений: карта заражения ботнетом Necrus через malwaretech.com , интерфейс дешифрования Bart и текущие инфекции по странам как через phishme.com

Похожие посты
Безопасность

Лучшие 36 сочетаний клавиш для Microsoft Edge и IE 11

Безопасность

Управляйте браузером Firefox с помощью команд «О программе»

Безопасность

Microsoft Security Essentials Бесплатное антивирусное программное обеспечение

Безопасность

Avira Rescue System v16