reklama

Když na konci května začaly vysychat nové případy široce distribuovaného Locky ransomware V roce 2016 byli výzkumní pracovníci v oblasti bezpečnosti jisti, že jsme neviděli poslední malware pro šifrování souborů varianta.

Hle, aj, měli pravdu.

Od 19. červnatis bezpečnostní experti pozorovali miliony škodlivých e-mailových zpráv zasílaných s přílohou obsahující novou variantu Locky ransomware. Zdá se, že vývoj způsobil malware mnohem nebezpečnějším Beyond Your Computer: 5 způsobů, jak vás Ransomware vezme do zajetí v budoucnostiRansomware je pravděpodobně nejhorší malware a zločinci, kteří jej používají, jsou stále více pokročilý, Zde je pět znepokojujících věcí, které by mohly být brzy vzaty jako rukojmí, včetně inteligentních domů a inteligentních auta. Přečtěte si více a jsou doprovázeny změnou distribuční taktikou, která šíří infekci dále, než bylo dříve vidět.

Není to jen Locky ransomware, který se obává bezpečnostních vědců. Locky již existovaly jiné varianty a zdá se, že distribuční sítě zvyšují „produkci“ po celém světě, aniž by vzaly v úvahu konkrétní cíle.

JavaScript Ransomware

2016 viděl mírný posun v distribuci malwaru Neupadněte se na podvodníky: Průvodce po Ransomware a dalších hrozbách Přečtěte si více . Uživatelé internetu mohou teprve začínat chápat extrémní hrozby hrozebního ransomwaru, ale již se začali vyvíjet, aby zůstali pod radarem co nejdéle.

Tok souborů Ransomware JavaScript

A zatímco malware využívající známé rámce JavaScriptu není neobvyklý, odborníci na bezpečnost byli v prvním čtvrtletí roku 2016 zahlceni záplavou škodlivého softwaru. vedoucí Eldon Sprickerhoff ke státu:

„Evoluce malwaru se zdá být stejně rychlá a výstřední jako v jakémkoli prostředí džungle, kde přežití a propagace jdou ruku v ruce. Autoři často kooptovali funkčnost z různých kmenů malwaru do další generace kódu - pravidelně vzorkují účinnost a ziskovost každé generace. “

Příchod ransomwaru kódovaného v JavaScriptu představuje pro uživatele novou výzvu, aby se jim pokusili vyhnout. Dříve, pokud jste omylem stáhli nebo vám byl zaslán škodlivý soubor, Windows prohledá příponu souboru a rozhodne, zda tento konkrétní typ souboru představuje pro váš systém nebezpečí.

Například při pokusu o spuštění neznámého.exe souboru se zobrazí toto varování:

Dialog s otevřeným souborem systému Windows

U JavaScriptu neexistuje žádné takové výchozí varování .js přípona souboru - soubory, které vedly k tomu, že obrovské množství uživatelů klikalo bez přemýšlení a poté bylo drženo za výkupné.

Botnets and Spam Email

Převážná většina ransomwaru je zasílána prostřednictvím škodlivých e-mailů, které jsou zasílány v obrovských objemech prostřednictvím masivních sítí infikovaných počítačů, které se běžně nazývají „botnet“.

Obrovský nárůst ransomwaru Locky byl přímo spojen s botanikou Necrus, která zaznamenala průměrně 50,000 IP adresy infikované každých 24 hodin po dobu několika měsíců. Během pozorování (Anubis Networks) zůstala míra infekce stabilní až do 28. březnatis když došlo k velkému nárůstu 650,000 infekce po dobu 24 hodin. Poté se vraťte do práce jako obvykle, i když s pomalu klesající mírou infekce.

Mapa infekce Necurs Botnet

1. červnaSvatý, Necrus ztichl. Spekulace o tom, proč botnet ztichl, je štíhlá, i když hodně soustředěná kolem zatčení asi 50 ruských hackerů. Botnet však pokračoval v práci později v měsíci (kolem 19tis červen), zaslání nové varianty Locky milionům potenciálních obětí. Na obrázku nahoře vidíte aktuální rozšíření botnetu Necrus - všimněte si, jak se vyhýbá Rusku?

E-maily se spamem vždy obsahují přílohu, která se považuje za důležitý dokument nebo archiv zaslaný z důvěryhodného (ale spoofed) účtu. Po stažení a přístupu k dokumentu se automaticky spustí infikované makro nebo jiný škodlivý skript a začne proces šifrování.

Ať už Locky, Dridex, CryptoLocker nebo jedna z nesčetných variant ransomwaru Viry, spyware, malware atd. Vysvětleno: Porozumění online hrozbámKdyž začnete přemýšlet o všech věcech, které by se mohly při procházení Internetu pokazit, web začne vypadat jako docela děsivé místo. Přečtěte si více , nevyžádaná pošta je stále volbou sítí pro doručování ransomwaru, což jasně ukazuje, jak úspěšný je tento způsob doručení.

Objeví se nové výzvy: Bart a RAA

Malware JavaScript není jedinou hrozbou Ransomware udržuje růst - jak se můžete chránit? Přečtěte si více uživatelé se budou muset v nadcházejících měsících potýkat - i když mám další nástroj JavaScriptu, o kterém vám mohu říct!

Nejprve nahoru Bart infekce využívá některé docela standardní techniky ransomware, používá podobné platební rozhraní jako Locky a zacílí na seznam hlavních přípon souborů pro šifrování. Existuje však několik klíčových provozních rozdílů. Zatímco většina ransomwaru potřebuje vytáčet domů na příkazový a řídicí server pro šifrovací zelené světlo, Bart takový mechanismus nemá.

Rozhraní pro nákup Bart Decryptor

Místo toho Brendan Griffin a Ronnie Tokazowski z Phishme věřte, že se Bart spoléhá na „Zřetelný identifikátor oběti, který označuje účastníkovi hrozby, jaký dešifrovací klíč by měl být použit k vytvoření dešifrovací aplikace, která má být k dispozici těm obětem, které platí výkupné, což znamená, že i když je infikovaný rychle odpojen od Internetu (před přijetím tradičního příkazového a kontrolního postupu), bude ransomware stále šifrovat soubory.

Bart jsou stranou ještě dvě věci: její cena za dešifrování a jeho konkrétní výběr cílů. V současné době je na 3BTC (bitcoin), což v době psaní odpovídá necelých 2 000 $! Pokud jde o výběr cílů, je to vlastně více kdo Bart ne cílová. Pokud Bart určí nainstalovaný uživatelský jazyk rusky, ukrajinsky nebo bělorusky, nebude se implementovat.

Infekce Bartem podle zemí

Za druhé, máme RAA, další varianta ransomware vyvinutá výhradně v JavaScriptu. Pro RAA je zajímavé použití běžných knihoven JavaScript. RAA je distribuována prostřednictvím škodlivé e-mailové sítě, jak vidíme u většiny ransomwaru, a obvykle přichází maskovaná jako dokument Word. Po spuštění souboru vygeneruje falešný dokument aplikace Word, který se zdá být zcela poškozen. Místo toho RAA prohledá dostupné jednotky, aby zkontroloval přístup ke čtení a zápisu a, pokud je to úspěšné, knihovnu Crypto-JS, aby zahájila šifrování souborů uživatele.

RAA také přidává urážku zranění a sdružuje známý program pro krádeže hesel Pony, jen aby se ujistil, že jste opravdu, opravdu zašroubovaní.

Ovládání malwaru JavaScript

Naštěstí, navzdory zjevné hrozbě, kterou představuje malware založený na JavaScriptu, můžeme zmírnit potenciální nebezpečí pomocí některých základních bezpečnostních kontrol v našich e-mailových účtech i v našich sadách Office. Používám Microsoft Office, takže tyto tipy se zaměří na tyto programy, ale na všechny aplikace, které používáte, byste měli použít stejné zásady zabezpečení.

Zakázat makra

Nejprve můžete zakázat automatické spouštění maker. Makro může obsahovat kód určený k automatickému stahování a spuštění malwaru, aniž byste si to uvědomovali. Ukážu vám, jak to provést v aplikaci Microsoft Word 2016, ale proces je relativně podobný pro všechny ostatní programy sady Office Jak se chránit před malwarem Microsoft WordVěděli jste, že váš počítač může být infikován škodlivými dokumenty Microsoft Office, nebo že byste mohli být vyzváni k povolení nastavení, která potřebují k infikování vašeho počítače? Přečtěte si více .

Vydejte se Soubor> Možnosti> Centrum zabezpečení> Nastavení centra zabezpečení. Pod Nastavení makra máte čtyři možnosti. Rozhodl jsem se Zakázat všechna makra s upozorněním, takže si mohu zvolit spuštění, pokud jsem si jistý zdrojem. Nicméně, Společnost Microsoft doporučuje výběrZakažte všechna makra s výjimkou digitálně podepsaných maker, v přímém vztahu k šíření Locky ransomware.

Nastavení makra Word 2016

Zobrazit rozšíření, použít jiný program

To není zcela spolehlivé, ale kombinace těchto dvou změn vás možná zachrání před dvojitým kliknutím na nesprávný soubor.

Nejprve musíte povolit přípony souborů v systému Windows, které jsou ve výchozím nastavení skryté.

Ve Windows 10 otevřete Průzkumník a vydejte se na Pohled tab. Šek Přípony názvů souborů.

Ve Windows 7, 8 nebo 8.1 přejděte na Ovládací panel> Vzhled a přizpůsobení> Možnosti složky. Pod Pohled kartu, přejděte dolů Pokročilé nastavení dokud neuvidíte Skrýt přípony pro známé typy souborů.

show-hidden-files.png

Pokud omylem stáhnete škodlivý soubor maskovaný jako něco jiného, ​​měli byste mít možnost zjistit příponu souboru před spuštěním.

Druhou částí je změna výchozího programu používaného k otevírání souborů JavaScriptu. Uvidíte, že když ve svém prohlížeči pracujete s JavaScriptem, existuje řada bariér a rámců, které se pokoušejí zastavit škodlivé události v pustošení vašeho systému. Jakmile se ocitnete mimo posvátnost prohlížeče a do prostředí Windows, mohou se při spuštění tohoto souboru stát špatné věci.

Automatická volba aplikace pro systém Windows 10 JavaScript

Zamiřte na a .js soubor. Pokud nevíte, kde a jak, zadejte * .js do vyhledávací lišty Průzkumníka Windows. Vaše okno by se mělo naplnit soubory podobnými tomuto:

Klepněte pravým tlačítkem myši na soubor a vyberte Vlastnosti. V tuto chvíli se náš soubor JavaScript otevře pomocí hostitele skriptů Microsoft Windows Based Script Host. Přejděte dolů, dokud nenajdete poznámkový blok a stiskněte OK.

Překontrolovat

Aplikace Microsoft Outlook vám neumožňuje přijímat soubory určitého typu. To zahrnuje .exe i .js, a má zabránit vám nechtěnému zavedení škodlivého softwaru do počítače. To však neznamená, že nemohou a nebudou proklouznout oběma jinými prostředky. Existují tři velmi snadné způsoby, jak lze ransomware přebalit:

  • Pomocí komprese souborů: škodlivý kód lze archivovat a je odeslán s jinou příponou souboru, která nespouští blokování integrovaných příloh aplikace Outlook.
  • Přejmenujte soubor: často se setkáváme se škodlivým kódem maskovaným jako jiný typ souboru. Protože většina světa používá nějakou formu kancelářské sady, formáty dokumentů jsou velmi populární.
  • Použití sdíleného serveru: tato možnost je o něco méně pravděpodobná, ale škodlivá pošta může být odesílána ze soukromého serveru FTP nebo ze zabezpečeného serveru SharePoint, pokud dojde k ohrožení. Protože by server byl zařazen do seznamu povolených v aplikaci Outlook, příloha by nebyla vyzvednuta jako nebezpečná.

Úplný seznam naleznete zde z toho rozšíření Outlook ve výchozím nastavení blokuje.

Neustálá bdělost

Nebudu lhát. Když jste online, hrozí všudypřítomný malware - ale nemusíte podléhat tlaku. Zvažte weby, které navštěvujete, účty, do kterých se registrujete, a e-maily, které dostáváte. A i když víme, že pro antivirový software je obtížné udržet krok s oslnivou škálou malwaru Varianty se objevily, stahování a aktualizace antivirové sady by mělo být naprosto součástí vašeho systému obrana.

Byl jste zasažen ransomwarem? Získali jste své soubory zpět? Které ransomware to bylo? Dejte nám vědět, co se vám stalo!

Obrazové kredity: Mapa infekce botnetů Necrus prostřednictvím malwaretech.com, Rozhraní Bart dešifrování a Aktuální infekce podle země, a to jak prostřednictvím phishme.com

Gavin je Senior Writer pro MUO. On je také editor a SEO manažer pro MakeUseOf krypto-zaměřené sesterské stránky, Blocks Decoded. Má BA (Hons) Contemporary Writing s Digital Art Practices drancované z kopců Devonu, stejně jako přes deset let profesionálních psaní zkušeností. Užívá si hojného množství čaje.