Votre nouvelle menace de sécurité pour 2016: javascript ransomware

Lorsque de nouvelles instances du ransomware Locky largement distribués ont commencé à se tarir vers la fin du mois de mai 2016, les chercheurs de sécurité étaient certains que nous avions pas vu la dernière de la variante des logiciels malveillants fichier chiffrement.

Et voilà, ils avaient raison.

Depuis le 19 Juine Les experts en sécurité ont observé des millions de messages électroniques malveillants envoyés avec une pièce jointe contenant une nouvelle variante du ransomware Locky. le l`évolution semble avoir fait les logiciels malveillants beaucoup plus dangereux, et sont accompagnés d`une tactique de distribution modifiée, propagation de l`infection plus loin que vu précédemment.Au-delà de votre ordinateur: 5 façons Ransomware vous emmènera en captivité dans l`avenirAu-delà de votre ordinateur: 5 façons Ransomware vous emmènera en captivité dans l`avenirRansomware est probablement le malware le plus méchant là-bas, et les criminels qui l`utilisent sont de plus en plus avancés, Voici cinq choses inquiétantes qui pourraient être prises en otage bientôt, y compris les maisons intelligentes et des voitures intelligentes.Lire la suite

Il est pas seulement les LOCKY chercheurs en sécurité ransomware inquiétante. Il y a déjà eu d`autres variantes de Locky, et il semble que les réseaux de distribution montent en puissance « production » à travers le monde, sans objectifs particuliers à l`esprit.

javascript Ransomware

2016 a vu un léger décalage dans la distribution de logiciels malveillants. Les internautes ne peuvent être que commencer à comprendre les poses extrêmes ransomware de menace, mais il a déjà commencé à évoluer, afin de rester sous le radar aussi longtemps que possible.Ne pas tomber sous le coup des Arnaques: Guide de Ransomware & autres menacesNe pas tomber sous le coup des Arnaques: Guide de Ransomware & autres menacesLire la suite

javascript Ransomware Flux de fichier

Et tandis que les logiciels malveillants en utilisant les frameworks javascript bien connus ne sont pas rares, les professionnels de la sécurité ont été submergés par un déluge de logiciels malveillants au cours du premier trimestre de 2016 conduisant Eldon Sprickerhoff à l`autre:

« Évolution Malware semble être aussi rapide et fardée comme tout environnement de jungle, où la survie et la propagation vont de pair. Les auteurs ont souvent cooptée fonctionnalité de différentes souches de logiciels malveillants dans la prochaine génération de codes - échantillonnage régulièrement l`efficacité et la rentabilité de chaque génération « .

L`avènement de ransomware codé en javascript présente un nouveau défi pour les utilisateurs pour tenter d`éviter. Auparavant, si vous avez téléchargé accidentellement, ou été envoyé un fichier malveillant, Windows serait scanner l`extension de fichier et de décider si oui ou non ce type de fichier particulier pose un danger pour votre système.

Par exemple, lorsque vous essayez d`exécuter un inconnu.EXE fichier, vous allez rencontrer cet avertissement:

Ouvrir un fichier Windows Dialogue d`alerte

Il n`y a pas d`avertissement par défaut avec javascript - la .js extension de fichier - fichiers, ce qui a conduit à un nombre massif d`utilisateurs en cliquant sans y penser, se tient alors pour obtenir une rançon.

Botnets et Email Spam

La grande majorité des ransomware est envoyé par e-mails malveillants, qui à leur tour sont envoyés dans d`énormes volumes à travers des réseaux massifs d`ordinateurs infectés, communément appelé un « botnet ».

L`énorme hausse des Locky ransomware a été directement lié au botnet Necrus, qui a vu en moyenne 50 000 adresses IP infectées toutes les 24 heures pendant plusieurs mois. Au cours de l`observation (par Anubis Networks), les taux d`infection sont demeurés stables, jusqu`au 28 Marse quand il y avait une énorme vague, atteignant 650000 infections au cours d`une période de 24 heures. Puis, de retour aux affaires comme d`habitude, mais avec un taux d`infection baisse lentement.

Necurs Botnet Carte des infections

Le 1er Juinst, Necrus se calme. Spéculation pourquoi le botnet se calme est mince, bien que beaucoup centré autour de l`arrestation d`environ 50 pirates russes. Cependant, le botnet a repris ses activités plus tard dans le mois (autour du 19e Juin), l`envoi de la nouvelle variante Locky à des millions de victimes potentielles. Vous pouvez voir la propagation actuelle du botnet Necrus dans l`image ci-dessus - notez comment il évite la Russie?

Les e-mails de spam contiennent toujours une pièce jointe, prétendant être un document important ou archives envoyé à partir d`un compte de confiance (mais usurpée). Une fois que le document est téléchargé et accessible, il exécute automatiquement une macro infecté ou un autre script malveillant, et le processus de chiffrement commence.

Que ce soit Locky, Dridex, cryptolocker, ou l`une des innombrables variantes ransomware, e-mail de spam est toujours le réseau de prestation de choix pour ransomware, ce qui illustre clairement à quel succès cette méthode de livraison est.Les virus, les logiciels espions, logiciels malveillants, etc. Explained: Comprendre les menaces en ligneLes virus, les logiciels espions, logiciels malveillants, etc. Explained: Comprendre les menaces en ligneLorsque vous commencez à penser à toutes les choses qui pourraient mal tourner lorsque vous naviguez sur Internet, le web commence à ressembler à un endroit assez effrayant.Lire la suite

Les nouveaux challengers apparaissent: Bart et ZRÉ

Malware javascript n`est pas la seule menace les utilisateurs devront faire face dans les prochains mois - bien que j`ai un autre outil javascript pour vous dire!

Tout d`abord en place, la Bart infection tire parti des techniques de ransomware assez standard, en utilisant une interface de paiement similaire à Locky, et le ciblage d`une liste d`intégrer des extensions de fichiers pour le chiffrement. Cependant, il y a quelques différences opérationnelles clés. Alors que la plupart besoin ransomware pour composer la maison à un serveur de commande et de contrôle pour le feu vert de cryptage, Bart n`a pas un tel mécanisme.

Bart déchiffreur Achat Interface

Au lieu de cela, Brendan Griffin et Ronnie Tokazowski de Phishme croient Bart repose sur un « identifiant de victime distincte pour indiquer à l`acteur de la menace que la clé de décryptage doit être utilisé pour créer l`application de décryptage censé être disponible pour les victimes qui paient la rançon », qui signifie même si l`infection est rapidement déconnecté de l`Internet (avant réception de la commande et de contrôle traditionnel feu vert), le ransomware va encore chiffrer les fichiers.

Il y a deux choses qui définit Bart côté: son décryptage prix demandé, et son choix spécifique des cibles. Il est actuellement à 3BTC (Bitcoin), qui, au moment de l`écriture équivaut à un peu moins de $ 2000! En ce qui concerne le choix des cibles, il est en fait plus qui Bart ne pas cible. Si Bart détermine une langue utilisateur installée de russe, ukrainien ou biélorusse, il ne se déploiera pas.

Bart infections par pays

Deuxième place, nous avons ZRÉ, une autre variante ransomware entièrement développé en javascript. Ce qui rend intéressant est l`utilisation ZRÉ des bibliothèques javascript communes. Est distribué par ZRÉ un réseau de courrier électronique malveillant, comme nous le voyons avec la plupart ransomware, et vient habituellement déguisé en un document Word. Lorsque le fichier est exécuté, il génère un faux document Word qui semble être entièrement corrompu. Au lieu de cela, scanne les disques ZRÉ disponibles pour vérifier les lecture et en écriture et, en cas de succès, la bibliothèque Crypto-JS pour commencer à crypter les fichiers de l`utilisateur.

Pour ajouter l`insulte à l`injure, aussi bien faisceaux ZRÉ connu programme de vol de mot de passe poney, juste pour vous assurer que vous êtes vraiment, vraiment foiré.

Contrôle Malware javascript

Heureusement, malgré la menace évidente que représentent les logiciels malveillants javascript, nous pouvons atténuer le danger potentiel avec des contrôles de sécurité de base dans nos deux comptes de messagerie et nos suites de bureau. J`utilise Microsoft Office, de sorte que ces conseils se concentrer sur les programmes, mais vous devez appliquer les mêmes principes de sécurité à vos applications quel que soit vous utilisez.

désactiver les macros

Tout d`abord, vous pouvez désactiver les macros exécution automatique. Une macro peut contenir du code conçu pour télécharger et exécuter automatiquement les logiciels malveillants, sans vous rendre compte. Je vais vous montrer comment faire cela dans Microsoft Word 2016, mais le processus est relativement similaire pour tous les autres programmes Office.Comment Protégez-vous contre les logiciels malveillants Microsoft WordComment Protégez-vous contre les logiciels malveillants Microsoft WordSaviez-vous que votre ordinateur peut être infecté par des documents Microsoft Office malveillants, ou que vous pourriez être dupés en permettant aux paramètres dont ils ont besoin d`infecter votre ordinateur?Lire la suite

Video: Les Ransomware vus par les hackers

Se diriger vers Fichier gt; options gt; Trust Center gt; Trust Center Settings. En dessous de Paramètres des macros vous disposez de quatre options. Je choisis de Désactiver toutes les macros avec notification, Je peux choisir de l`exécuter si je suis sûr de la source. Cependant, Microsoft conseille la sélection Désactiver toutes les macros à l`exception des macros signées numériquement, en relation directe avec la propagation de la ransomware Locky.

Paramètres des macros de Word 2016

Extensions Afficher, Utiliser autre programme

Ce n`est pas tout à fait à toute épreuve, mais la combinaison des deux changements vous peut sauver de double-cliquant sur le mauvais fichier.

Tout d`abord, vous devez activer les extensions de fichiers de Windows, qui sont cachés par défaut.

Dans Windows 10, ouvrez une fenêtre Explorer, et la tête à la Vue languette. Vérifier extensions de nom de fichier.

Video: Bassem Braiki : un raciste décomplexé

Dans Windows 7, 8 ou 8.1, à la tête Panneau de contrôle gt; Apparence et personnalisation gt; Options de dossier. Sous le Vue onglet, faites défiler la Réglages avancés jusqu`à ce que vous repérer Masquer les extensions des types de fichiers connus.

show-hidden-files.jpg

Si vous téléchargez accidentellement un fichier malveillant déguisé en autre chose, vous devriez être en mesure de repérer l`extension de fichier avant l`exécution.

La deuxième partie de cette implique la modification du programme par défaut utilisé pour ouvrir les fichiers javascript. Vous voyez, quand vous vous engagez avec javascript au sein de votre navigateur, il y a un certain nombre d`obstacles et de cadres en place pour tenter d`empêcher les événements malveillants de ravager votre système. Une fois que vous êtes en dehors de la sainteté du navigateur et dans le shell de Windows, de mauvaises choses peuvent se produire lorsque ce fichier est exécuté.

choix de l`application automatique de Windows 10 javascript

Tête à un .js fichier. Si vous ne savez pas où ni comment, entrez * .js dans la barre de recherche Explorateur Windows. Votre fenêtre doit remplir avec des fichiers semblables à ceci:

Clic droit sur un fichier et sélectionnez Propriétés. Pour le moment, notre fichier javascript s`ouvre avec Host Microsoft Windows basée sur des scripts. Faites défiler la liste jusqu`à ce que vous trouvez Bloc-notes et appuyez sur D`accord.

Revérifier

Microsoft Outlook ne vous permet pas de recevoir des fichiers de certains types. Cela inclut les .exe et .js, et pour vous empêcher l`introduction par inadvertance des logiciels malveillants sur votre ordinateur. Cependant, cela ne signifie pas qu`ils ne peuvent pas et ne glisse pas à travers les deux autres moyens. Il y a trois façons très faciles ransomware peuvent être reconditionnés:

  • En utilisant la compression de fichiers: Le code malveillant peut être archivé et est envoyé avec une extension de fichier qui ne déclenche pas le blocage de fixation intégré Outlook.
  • Renommez le fichier: Nous rencontrons souvent du code malveillant déguisé en un autre type de fichier. Comme la plupart du monde utilise une certaine forme de suite bureautique, les formats de documents sont extrêmement populaires.
  • L`utilisation d`un serveur partagé: Cette option est un peu moins probable, mais le courrier malveillant peut être envoyé à partir d`un FTP privé ou d`un serveur SharePoint sécurisé si compromise. Comme le serveur serait dans Outlook liste blanche, la pièce jointe ne serait pas pris comme malveillant.

Voir ici pour une liste complète des extensions qui Outlook bloque par défaut.

Vigilance constante

Je ne vais pas mentir. Il y a une menace omniprésente des logiciels malveillants lorsque vous êtes en ligne - mais vous ne devez pas succomber à la pression. Tenez compte des sites que vous visitez, les comptes que vous vous connectez à et les e-mails que vous recevez. Et même si nous savons qu`il est difficile pour un logiciel antivirus pour maintenir le rythme de la pléiade de logiciels malveillants variantes égrenée, le téléchargement et la mise à jour d`une suite antivirus devrait faire absolument partie de votre défense du système.

Avez-vous été touché par ransomware? Avez-vous obtenu vos fichiers? Ce qui ransomware était-il? Faites-nous savoir ce qui est arrivé à vous!

Articles connexes