Sua nova ameaça de segurança para 2016: ransomware javascript
Quando novas instâncias do ransomware Locky amplamente distribuído começou a secar ao redor do final de Maio de 2016, pesquisadores de segurança estavam certos de que não tinha visto o último da variante de malware-Encrypting File.
Conteúdo
Lo e eis que eles estavam certos.
Desde 19 de junhoº especialistas em segurança têm observado milhões de mensagens de e-mail maliciosos enviados com um anexo contendo uma nova variante do ransomware Locky. o evolução parece ter feito o malware muito mais perigoso, e são acompanhados por uma tática distribuição alterada, a propagação da infecção mais do que observado anteriormente.Além do seu computador: 5 maneiras Ransomware irá levá-lo cativo no futuroAlém do seu computador: 5 maneiras Ransomware irá levá-lo cativo no futuroRansomware é provavelmente o malware mais desagradável lá fora, e os criminosos que o utilizam são cada vez mais avançadas, Aqui estão cinco coisas preocupantes que poderiam ser tomados como reféns em breve, incluindo casas inteligentes e carros inteligentes.consulte Mais informação
Não são apenas os pesquisadores de segurança ransomware preocupante Locky. Já houve outras variantes de Locky, e parece que as redes de distribuição estão aumentando a “produção” em todo o mundo, sem alvos específicos em mente.
javascript Ransomware
2016 viu uma ligeira mudança na distribuição de malware. usuários de internet só pode ser apenas começando a entender as poses extremas ameaça de ransomware, mas já começou a evoluir, a fim de permanecer sob o radar por tanto tempo quanto possível.Não colidir com os golpistas: Um Guia Para Ransomware & outras AmeaçasNão colidir com os golpistas: Um Guia Para Ransomware & outras Ameaçasconsulte Mais informação
E enquanto o malware utilizando frameworks javascript conhecidos não são incomuns, profissionais de segurança foram esmagados com um dilúvio de malware no primeiro trimestre de 2016 levando Eldon Sprickerhoff para estado:
“Evolução Malware parece ser tão rápida e cruel como qualquer ambiente de selva, onde a sobrevivência e propagação andam de mãos dadas. Autores têm cooptado frequentemente funcionalidade de diferentes variantes de malware para a próxima geração de código - amostragem regularmente a eficácia e rentabilidade de cada geração “.
O advento do ransomware codificado em javascript apresenta um novo desafio para os usuários para tentar evitar. Anteriormente, se você baixou acidentalmente, ou foi enviado um arquivo malicioso, o Windows seria digitalizar a extensão de arquivo e decidir se quer ou não este tipo específico de arquivo representa um perigo para o seu sistema.
Por exemplo, quando você tenta executar um desconhecido.exe arquivo, você vai encontrar este aviso:
Não há tal padrão de advertência com javascript - o .js extensão de arquivo - arquivos, o que levou a um grande número de usuários que clicam sem pensar, em seguida, sendo mantidos como reféns.
Botnets e Spam Email
A grande maioria dos ransomware é enviado via e-mails maliciosos, que por sua vez são enviados em grandes volumes através de redes maciças de computadores infectados, comumente referido como um “botnet”.
O enorme aumento no Locky ransomware tem sido associada diretamente ao botnet Necrus, que viu uma média de 50.000 endereços IP infectados a cada 24 horas durante vários meses. Durante a observação (por Anubis Networks), as taxas de infecção manteve-se estável, até 28 de Marçoº quando houve um grande aumento, atingindo 650.000 infecções ao longo de um período de 24 horas. Então, de volta aos negócios como normal, embora com uma taxa de infecção caindo lentamente.
Video: Qual teu Papo WannaCryptor Ransomware
Em 1º de junhost, Necrus ficou em silêncio. A especulação a respeito de porque a botnet foi tranquila é magro, embora muito centrado em torno da prisão de cerca de 50 hackers russos. No entanto, o botnet retomou os negócios no final do mês (em torno de 19º Junho), o envio da nova variante Locky a milhões de potenciais vítimas. Você pode ver a propagação atual do botnet Necrus na imagem acima - note como ele evita a Rússia?
Os e-mails de spam sempre conter um anexo, que se apresente um documento importante ou arquivo enviado a partir de uma conta de confiança (mas falsificado). Uma vez que o documento é baixado e acessado, ele será executado automaticamente uma macro infectada ou outro script malicioso, e o processo de criptografia começa.
Video: O que é Ransomware?
Se Locky, Dridex, CryptoLocker, ou uma das variantes de ransomware miríade, o spam de e-mail ainda é a rede de distribuição de escolha para ransomware, claramente ilustrando o quão bem sucedido este método de entrega é.Vírus, spyware, malware, etc. explicou: Compreensão de Ameaças OnlineVírus, spyware, malware, etc. explicou: Compreensão de Ameaças OnlineQuando você começar a pensar em todas as coisas que podem dar errado quando navega na Internet, a web começa a parecer um lugar muito assustador.consulte Mais informação
New Challengers aparecer: Bart e RAA
javascript malware não é a única ameaça os usuários terão de enfrentar nos próximos meses - apesar de eu ter outra ferramenta javascript para informá-lo sobre!
Primeiro, o Bart infecção utiliza algumas técnicas ransomware bastante padrão, usando uma interface de pagamento semelhante ao Locky, e visando uma lista tradicional de extensões de arquivos para criptografia. No entanto, existem algumas diferenças operacionais chave. Enquanto a maioria necessidade ransomware para discar o lar de um servidor de comando e controle para a luz verde criptografia, Bart não tem tal mecanismo.
Video: Guia de Sobrevivência a um ataque de Ransomware
Em vez disso, Brendan Griffin e Ronnie Tokazowski de Phishme acreditam Bart se baseia em um “identificador vítima distinta para indicar ao ator ameaça que chave de decodificação deve ser usado para criar o aplicativo descriptografia pretendia estar disponível para as vítimas que pagar o resgate”, ou seja, mesmo se a infecção está rapidamente desconectado da Internet (antes de receber o comando tradicional e controle à frente go-), o ransomware ainda vai criptografar os arquivos.
Há mais duas coisas que define Bart de lado: a sua descriptografia cotação de venda, e sua escolha específica de alvos. Ele está atualmente em 3BTC (bitcoin), que no momento da escrita equivale a pouco menos de $ 2000! Quanto a uma escolha de alvos, é realmente mais que Bart não alvo. Se Bart determina um idioma do usuário instalada de russo, ucraniano ou bielo-russa, não vai implantar.
Em segundo lugar, nós temos RAA, outra variante ransomware desenvolvido inteiramente em javascript. O que torna RAA interessante é o uso de bibliotecas comuns de javascript. RAA é distribuído através de uma rede de e-mail malicioso, como podemos ver com mais ransomware, e, geralmente, vem disfarçado como um documento do Word. Quando o arquivo é executado, ele gera um documento do Word falso que parece ser totalmente corrompido. Em vez disso, RAA varre as unidades disponíveis para verificação de leitura e gravação de acesso e, se bem sucedida, a biblioteca Crypto-JS para começar a criptografia de arquivos do usuário.
Para adicionar insulto à injúria, RAA também pacotes de bem conhecido programa de senha roubo Pony, apenas para se certificar que você está realmente ferrado.
Controlando o javascript Malware
Felizmente, apesar da ameaça óbvia colocada por malware baseado em javascript, podemos reduzir o perigo potencial com alguns controles básicos de segurança em ambas as nossas contas de e-mail e nossas suítes de escritório. Eu uso o Microsoft Office, então estas dicas vão concentrar-se nos programas, mas você deve aplicar os mesmos princípios de segurança a seus Seja qual for aplicativos que você usa.
macros desativar
Primeiro, você pode desativar macros seja executado automaticamente. A macro pode conter código projetado para automaticamente baixar e executar malware, sem você perceber. Eu vou te mostrar como fazer isso no Microsoft Word 2016, mas o processo é relativamente semelhante para todos os outros programas do Office.Como proteger-se de Microsoft Word MalwareComo proteger-se de Microsoft Word MalwareVocê sabia que seu computador pode ser infectado por maliciosos documentos do Microsoft Office, ou que você pode ser enganado para habilitar as configurações necessárias para infectar seu computador?consulte Mais informação
cabeça para Arquivo gt; opções gt; trust Center gt; Configurações da Central de confiança. Sob Configurações de macro você tem quatro opções. Eu escolho Desativar todas as macros com notificação, para que eu possa optar por executá-lo se eu tenho certeza da fonte. No entanto, Microsoft aconselhar seleção Desativar todas as macros, exceto as digitalmente assinadas, em relação direta com a propagação do ransomware Locky.
Mostrar extensões, Programa de Uso Different
Isso não é inteiramente infalível, mas a combinação das duas alterações, talvez salvá-lo de um clique duplo no arquivo errado.
Primeiro, você precisa habilitar extensões de arquivo dentro do Windows, que estão escondidos por padrão.
No Windows 10, abra uma janela do Explorer, e siga para a Visão aba. Verifica extensões de nome de arquivo.
No Windows 7, 8 ou 8,1, de cabeça para Painel de controle gt; Aparência e Personalização gt; Opções de Pasta. Debaixo de Visão guia, role a Configurações avançadas até que você mancha Ocultar extensões de ficheiros conhecidos.
Se você acidentalmente baixar um arquivo malicioso disfarçado de outra coisa, você deve ser capaz de detectar a extensão do arquivo antes da execução.
A segunda parte deste envolve mudar o programa padrão usado para abrir arquivos javascript. Você vê, quando você se envolver com javascript no seu navegador, há uma série de barreiras e estruturas no local para tentar parar quaisquer acontecimentos maliciosos devastando seu sistema. Uma vez que você está fora da santidade do navegador e para o shell do Windows, as coisas ruins podem acontecer quando esse arquivo é executado.
Chefe de um .js Arquivo. Se você não sabe onde ou como, insira * .js na barra de pesquisa do Windows Explorer. Sua janela deve preencher com arquivos semelhante a este:
O botão direito do mouse em um arquivo e selecione propriedades. No momento nosso arquivo javascript abre com roteiro baseado Microsoft Windows anfitrião. Role para baixo até encontrar Bloco de anotações e pressione Está bem.
Dupla verificação
O Microsoft Outlook não permitem que você receba arquivos de certo tipo. Isso inclui tanto .exe e .js, e é para impedi-lo, inadvertidamente, a introdução de malware ao seu computador. No entanto, isso não significa que não pode e não vai escorregar através dos dois outros meios. Há três maneiras extremamente fácil ransomware pode ser reembalados:
- Usando compressão de arquivos: O código malicioso pode ser arquivado, e é enviado com uma extensão de arquivo diferente que não desencadear bloqueio integrada anexo do Outlook.
- Renomeie o arquivo: Nós freqüentemente se deparam com código malicioso disfarçado como outro tipo de arquivo. Como a maior parte do mundo usa algum tipo de suíte de escritório, formatos de documentos são extremamente populares.
- Usando um servidor compartilhado: Esta opção é um pouco menos provável, mas e-mail malicioso pode ser enviado a partir de um FTP privado ou servidor SharePoint seguro se comprometido. Como o servidor estaria na lista de autorizações dentro do Outlook, o anexo não seria pego como malicioso.
Veja aqui uma lista completa de quais extensões Outlook bloqueia por padrão.
Vigilância constante
Eu não vou mentir. Há uma ameaça omnipresente de malware quando você está online - mas você não tem que sucumbir à pressão. Considere os sites que você está visitando, as contas que você está se inscrever para e-mails que você está recebendo. E mesmo que nós sabemos que é difícil para o software antivírus para manter o ritmo com a deslumbrante variedade de malwares variantes agitado, download e atualização de um pacote antivírus deve absolutamente fazer parte de sua defesa do sistema.
Você foi atingido por ransomware? Você conseguiu seus arquivos de volta? Que ransomware foi? Vamos saber o que aconteceu com você!