Su nueva amenaza a la seguridad para el 2016: ransomware javascript
Cuando las nuevas instancias del ransomware Locky ampliamente distribuido comenzaron a secarse en torno a finales de mayo de 2016, los investigadores de seguridad estaban seguros de que no habíamos visto el último de la variante de malware de archivos de cifrado.
Pero hete aquí que estaban en lo correcto.
Desde junio 19º expertos en seguridad han observado millones de mensajes de correo electrónico maliciosos enviados con un archivo adjunto que contiene una nueva variante del ransomware Locky. los evolución parece haber hecho el malware mucho más peligrosa, y van acompañados de una táctica distribución alterada, propagación de la infección más allá de visto anteriormente.Más allá de su equipo: 5 maneras ransomware le tomará cautivo en el futuroMás allá de su equipo: 5 maneras ransomware le tomará cautivo en el futuroRansomware es probablemente el más desagradable de malware por ahí, y los criminales que lo utilizan son cada vez más avanzada, Aquí hay cinco cosas preocupantes que podrían ser tomadas como rehenes pronto, incluyendo casas inteligentes y coches inteligentes.Lee mas
No son sólo los investigadores de seguridad ransomware preocupante Locky. Ya ha habido otras variantes de Locky, y parece que las redes de distribución están aumentando la “producción” en todo el mundo, sin objetivos específicos en mente.
javascript ransomware
2016 ha visto un ligero cambio en la distribución de software malicioso. usuarios de Internet sólo puede ser sólo empezando a comprender las posturas extremas amenaza ransomware, pero ya ha comenzado a evolucionar, a fin de permanecer bajo el radar durante el mayor tiempo posible.No caiga Falta de los estafadores: Una guía para ransomware & otras amenazasNo caiga Falta de los estafadores: Una guía para ransomware & otras amenazasLee mas
Y mientras que el malware que utiliza marcos de javascript bien conocidas no son infrecuentes, los profesionales de seguridad se vieron desbordados con una avalancha de malware en el primer trimestre de 2016 que lleva a Eldon Sprickerhoff Estado:
“La evolución del malware parece ser tan rápida y feroz como cualquier ambiente de la selva, donde la supervivencia y propagación van de la mano. Autores frecuencia han cooptado funcionalidad de diferentes cepas de malware en la próxima generación de código - de muestreo regularmente la eficacia y la rentabilidad de cada generación “.
El advenimiento de ransomware código en javascript presenta un nuevo reto para los usuarios intentan evitar. Anteriormente, si accidentalmente descargó, o se le envió un archivo malicioso, Windows exploraría la extensión de archivo y decidir si o no este tipo particular de archivo representa un peligro para el sistema.
Por ejemplo, cuando se intenta ejecutar un desconocido.exe archivo, se encontrará con esta advertencia:
Vídeo: Zepto ransomware en acción. Parte 1.
No hay tal defecto advertencia con javascript - la .js extensión de archivo - archivos, lo que ha llevado a un número masivo de usuarios que hacen clic sin pensar, luego de ser detenido para el rescate.
Botnets y spam de correo electrónico
La gran mayoría de ransomware se envía a través de correos electrónicos maliciosos, que a su vez se envían en grandes volúmenes a través de redes masivas de ordenadores infectados, conocidos comúnmente como una “botnet”.
El enorme aumento de Locky ransomware se ha vinculado directamente a la red de bots Necrus, que vio un promedio de 50000 direcciones IP infectadas cada 24 horas durante varios meses. Durante la observación (por Anubis Redes), las tasas de infección se mantuvieron estables, hasta el 28 de marzo deº cuando se produjo un enorme aumento, alcanzando 650.000 infecciones más de un período de 24 horas. A continuación, volver a lo normal, aunque con una tasa de infección dejando caer lentamente.
El 1 de juniost, Necrus quedó en silencio. La especulación en cuanto a por qué la botnet se quedó en silencio es delgado, aunque gran parte en torno a la detención de unos 50 hackers rusos. Sin embargo, la red de bots reanudó negocio más adelante en el mes (alrededor del 19º Junio), el envío de la nueva variante Locky a millones de víctimas potenciales. Se puede ver la propagación actual de la red de bots Necrus en la imagen de arriba - en cuenta cómo se evita Rusia?
Los correos electrónicos no deseados siempre contienen un archivo adjunto, que pretende ser un importante documento o archivo enviado desde una cuenta de confianza (pero falso). Una vez que el documento se descarga y se accede, se ejecutará automáticamente una macro infectada u otro código malicioso, y comienza el proceso de cifrado.
Ya sea Locky, Dridex, cryptolocker, o una de las variantes ransomware miríada, spam de correo electrónico sigue siendo la red de distribución de elección para ransomware, ilustrando claramente hasta qué punto el éxito de este método de entrega es.Los virus, spyware, malware, etc. explicó: Descripción de las amenazas en líneaLos virus, spyware, malware, etc. explicó: Descripción de las amenazas en líneaCuando se empieza a pensar en todas las cosas que podrían salir mal cuando se navega por Internet, la web empieza a parecerse a un lugar bastante miedo.Lee mas
Nuevos competidores aparecen: Bart y RAA
javascript malware no es la única amenaza los usuarios tendrán que hacer frente en los próximos meses - aunque tengo otra herramienta javascript para informarle sobre!
En primer lugar, la Bart infección aprovecha algunas técnicas de ransomware bastante estándar, utilizando una interfaz de pago similar a Locky, y la focalización una lista corriente principal de las extensiones de archivo para el cifrado. Sin embargo, hay un par de diferencias operativas clave. Mientras que la mayor necesidad ransomware para marcar el hogar de un servidor de comando y control para la luz verde cifrado, Bart no tiene tal mecanismo.
En su lugar, Brendan Griffin y Ronnie Tokazowski de Phishme creen Bart se basa en un “identificador víctima clara, para indicar que el actor amenaza lo clave de descifrado se debe utilizar para crear la aplicación de descifrado que pretendía ser disponibles a las víctimas que pagar el rescate”, es decir, incluso si el infectado se desconecta rápidamente de Internet (antes de recibir el comando de control tradicional y por delante go-), el ransomware seguirá cifrar los archivos.
Hay dos cosas más que diferencia a Bart a un lado: su descifrado precio de venta, y su elección específica de objetivos. En la actualidad se sitúa en 3BTC (Bitcoin), que en el momento de la escritura equivale a poco menos de $ 2000! En cuanto a la elección de los objetivos, es en realidad más que Bart no hace objetivo. Si Bart determina un idioma de usuario instalada de Rusia, Ucrania, o bielorruso, no va a desplegar.
En segundo lugar, tenemos RAA, otra variante ransomware desarrollado enteramente en javascript. Lo que hace interesante RAA es el uso de bibliotecas de javascript comunes. RAA se distribuye a través de una red de correo electrónico malicioso, como vemos con la mayor parte de ransomware, y por lo general viene disfrazado como un documento de Word. Cuando se ejecuta el archivo, se genera un documento de Word falsa que parece estar dañado por completo. En su lugar, RAA escanea las unidades disponibles para verificar si el acceso de lectura y, si tiene éxito, la biblioteca Crypto-JS para comenzar el cifrado de los archivos del usuario.
Para colmo de males, RAA también lía conocido programa de robo de contraseñas Pony, sólo para asegurarse de que está muy, muy jodido.
El control de javascript malware
Por suerte, a pesar de la evidente amenaza planteada por el malware basado en javascript, podemos mitigar el peligro potencial con algunos controles básicos de seguridad, tanto en nuestras cuentas de correo electrónico y las suites de oficina. Uso Microsoft Office, por lo que estos consejos se centrará en los programas, pero se debería aplicar los mismos principios de seguridad para las aplicaciones de lo que usted usa.
deshabilitar macros
En primer lugar, puede deshabilitar las macros se ejecuten automáticamente. Una macro puede contener código diseñado para descargar y ejecutar automáticamente el malware, sin que te des cuenta. Te voy a mostrar cómo hacer esto en Microsoft Word 2016, pero la proceso es relativamente similar para todos los otros programas de Office.Cómo protegerse de malware de Microsoft WordCómo protegerse de malware de Microsoft Word¿Sabías que el equipo puede estar infectado por maliciosos documentos de Microsoft Office, o que usted podría ser engañado para permitir los ajustes necesarios para infectar su computadora?Lee mas
Dirigirse a Archivo gt; opciones gt; Centro de confianza gt; Configuración del Centro de confianza. Debajo Configuración de macros tiene cuatro opciones. Elijo Deshabilitar todas las macros con notificación, por lo que puede optar por ejecutarlo si no estoy seguro de la fuente. Sin embargo, la selección consejo Microsoft Desactivar todas las macros excepto las firmadas digitalmente, en relación directa con la propagación de la ransomware Locky.
Mostrar las extensiones, Uso programa diferente
Esto no es completamente a prueba de tontos, pero la combinación de los dos cambios será tal vez ahorrará de hacer doble clic en el archivo incorrecto.
En primer lugar, necesita habilitar las extensiones de archivos dentro de Windows, que están ocultos por defecto.
En Windows 10, abra una ventana del explorador, y dirigirse a la Ver lengüeta. Comprobar extensiones de nombre de archivo.
En Windows 7, 8 o 8,1, a la cabeza Panel de control gt; apariencia y personalización gt; Opciones de carpeta. Bajo la Ver pestaña, desplazarse por la Ajustes avanzados hasta que punto Ocultar las extensiones para tipos de archivo conocidos.
Si descarga accidentalmente un archivo malicioso disfrazado de otra cosa, debe ser capaz de detectar la extensión del archivo antes de la ejecución.
La segunda parte de este consiste en cambiar el programa predeterminado que se utiliza para abrir archivos javascript. Usted ve, cuando participe con javascript en su navegador, hay una serie de barreras y los marcos en lugar de intentar detener cualquier suceso maliciosos que asola su sistema. Una vez que esté fuera de la santidad del navegador y el shell de Windows, las cosas malas pueden suceder cuando se ejecuta dicho archivo.
La cabeza a una .js archivo. Si usted no sabe dónde o cómo, introduzca * .js en la barra de búsqueda del Explorador de Windows. Su ventana debe rellenar con archivos similar a esto:
Vídeo: Herramientas para la amenaza del VIRUS ransomware
Haga clic derecho en un archivo y seleccione propiedades. Por el momento nuestro archivo javascript abre con secuencias de comandos de Microsoft Windows basado en host. Desplazarse hacia abajo hasta que encuentre Bloc y pulse DE ACUERDO.
Doble-Check
Microsoft Outlook no le permiten recibir archivos de cierto tipo. Esto incluye tanto .exe y .js, y es dejar que la introducción inadvertida de malware en el ordenador. Sin embargo, eso no significa que no puede y no va a deslizarse a través de los dos otros medios. Hay tres maneras extremadamente fácil ransomware puede ser reenvasados:
- Uso de la compresión de archivos: El código malicioso puede ser archivada y se envía con una extensión de archivo diferente que no desencadenan bloqueo de archivos adjuntos integrada de Outlook.
- Cambie el nombre del archivo: Encontramos frecuentemente código malicioso disfrazado como otro tipo de archivo. Como la mayor parte del mundo utiliza alguna forma de suite de oficina, formatos de documentos son extremadamente populares.
- El uso de un servidor compartido: Esta opción es un poco menos probable, pero el correo malicioso puede ser enviado desde un FTP privado o servidor de SharePoint seguro si comprometida. Como el servidor sería la lista blanca dentro de Outlook, los datos adjuntos no sería recogido como malicioso.
Ver aquí para una lista completa de las extensiones Outlook bloquea por defecto.
Vigilancia constante
No voy a mentir. No es una amenaza omnipresente de malware cuando estás en línea - pero usted no tiene que sucumbir a la presión. Tenga en cuenta los sitios que va a visitar, las cuentas que está firmando hasta, y los mensajes de correo electrónico que está recibiendo. Y a pesar de que sabemos que es difícil para el software antivirus para mantener el ritmo de la deslumbrante variedad de software malicioso variantes churned, descargar y actualizar una suite de antivirus deben formar absolutamente parte de su sistema de defensa.
¿Ha sido golpeado por ransomware? ¿Recibió los archivos de nuevo? ¿Qué ransomware era? Háganos saber lo que le pasó!