Annons

När nya instanser av det utspridda Locky ransomware började torka upp i slutet av maj 2016 var säkerhetsforskare säkra på att vi inte hade sett det sista av filkrypterande skadlig programvara variant.

Se och se, de hade rätt.

Sedan 19 junith säkerhetsexperter har observerat miljoner skadliga e-postmeddelanden som skickats med en bilaga som innehåller en ny variant av Locky ransomware. De evolution verkar ha gjort skadlig programvara mycket farligare Bortom din dator: 5 sätt Ransomware tar dig i fångenskap i framtidenRansomware är förmodligen den otäckaste skadliga programvaran där ute, och de brottslingar som använder den blir mer avancerad, Här är fem oroande saker som kan tas som gisslan snart, inklusive smarta hem och smarta bilar. Läs mer , och åtföljs av en förändrad distributionstaktik, som sprider infektionen längre än tidigare sett.

Det är inte bara Locky ransomware oroande säkerhetsforskare. Det har redan förekommit andra varianter av Locky, och det verkar som om distributionsnätet sprider upp "produktion" över hela världen, utan några speciella mål i åtanke.

instagram viewer

JavaScript Ransomware

2016 har sett en liten förändring i distributionen av skadlig programvara Don't Fall Foul of the Scammers: En guide till Ransomware & andra hot Läs mer . Internetanvändare kanske bara börjar förstå de extrema hoten av ransomware-positurer, men det har redan börjat utvecklas för att förbli under radarn så länge som möjligt.

JavaScript Ransomware-filflöde

Och även om skadlig programvara som använder välkända JavaScript-ramverk inte är ovanligt, var övervakningspersonal överväldigad av en ström av skadlig programvara under det första kvartalet 2016 leder Eldon Sprickerhoff till staten:

”Malware-utvecklingen verkar vara lika snabb och snodd som alla djungelmiljöer, där överlevnad och förökning går hand i hand. Författare har ofta koopererat funktionalitet från olika skadliga stammar till nästa generation av kod - regelbundet prov på effektiviteten och lönsamheten för varje generation. "

Tillkomsten av ransomware kodat i JavaScript utgör en ny utmaning för användare att försöka undvika. Tidigare, om du av misstag laddade ner eller skickades en skadlig fil, skannade Windows filändelsen och bestämmer om den här typen av fil utgör en fara för ditt system eller inte.

Till exempel när du försöker köra en okänd.exe fil kommer du att möta den här varningen:

Windows Open File Warning Dialogue

Det finns ingen sådan standardvarning med JavaScript - Js filändelse - filer, vilket har lett till att ett massivt antal användare klickar utan att tänka, och sedan hålls kvar för lösen.

Botnät och skräppost

Den stora majoriteten av ransomware skickas via skadliga e-postmeddelanden, som i sin tur skickas i enorma volymer genom massiva nätverk av infekterade datorer, ofta kallad ”botnet.”

Den enorma ökningen av Locky ransomware har kopplats direkt till Necrus botnet, som såg ett genomsnitt av 50,000 IP-adresser infekterade var 24 timmar under flera månader. Under observationen (av Anubis Networks) förblev infektionsgraden jämn, tills 28 marsth när det var en enorm våg, når 650,000 infektioner under en 24-timmarsperiod. Sedan, tillbaka till verksamheten som normalt, om än med en långsamt fallande infektionsgrad.

Necurs Botnet infektionskarta

Den 1 junist, Necrus gick tyst. Spekulationer om varför botnet gick tyst är smal, men mycket centrerad kring gripande av cirka 50 ryska hackare. Botnet fortsatte dock verksamheten senare i månaden (runt 19th juni) och skickar den nya Locky-varianten till miljoner potentiella offer. Du kan se den nuvarande spridningen av Necrus botnet i ovanstående bild - notera hur det undviker Ryssland?

Skräppostmeddelandena innehåller alltid en bifogad fil, som påstås vara ett viktigt dokument eller arkiv skickat från ett betrodd (men förfalskat) konto. När dokumentet har laddats ner och åtkomst körs det automatiskt ett infekterat makro eller annat skadligt skript, och krypteringsprocessen börjar.

Oavsett om Locky, Dridex, CryptoLocker eller en av de myriad ransomware-varianterna Virus, spionprogram, skadlig programvara etc. Förklarade: Förstå hot på nätetNär du börjar tänka på alla saker som kan gå fel när du surfar på internet börjar webben se ut som en ganska läskig plats. Läs mer , spam-e-post är fortfarande det leveransnätverket för ransomware som tydligt illustrerar hur framgångsrik denna leveransmetod är.

Nya utmanare visas: Bart och RAA

Malware med JavaScript är inte det enda hotet Ransomware håller på att växa - hur kan du skydda dig själv? Läs mer användare kommer att behöva kämpa med under de kommande månaderna - även om jag har ett annat JavaScript-verktyg att berätta om!

Först upp, Bart infektion utnyttjar några ganska vanliga ransomware-tekniker, använder ett liknande betalningsgränssnitt som Locky och riktar sig till en mainstream-lista över filändelser för kryptering. Det finns dock ett par viktiga operativa skillnader. Medan de flesta ransomware behöver ringa hem till en kommando- och kontrollserver för krypteringsgrönt ljus, har Bart ingen sådan mekanism.

Bart Decryptor-köpgränssnitt

Istället Brendan Griffin och Ronnie Tokazowski från Phishme tror Bart förlitar sig på en ”Distinkt offeridentifierare för att indikera för hotaktören vilken dekrypteringsnyckel som ska användas för att skapa dekrypteringsapplikationen som påstås vara tillgänglig för de offer som betalar ransom, ”vilket betyder att även om den infekterade snabbt kopplas bort från Internet (innan den traditionella kommandot och kontrollen går vidare) kommer ransomware fortfarande att kryptera filer.

Det finns ytterligare två saker som sätter Bart åt sidan: dess pris för dekryptering och sitt specifika val av mål. Den står för närvarande på 3BTC (bitcoin), som i skrivande stund motsvarar knappt 2000 dollar! När det gäller ett val av mål är det faktiskt mer som Bart inte mål. Om Bart bestämmer ett installerat användarspråk på ryska, ukrainska eller vitryssland kommer det inte att distribueras.

Bart-infektioner per land

För det andra har vi det RAA, en annan ransomware-variant utvecklad helt i JavaScript. Det som gör RAA intressant är dess användning av vanliga JavaScript-bibliotek. RAA distribueras via ett skadligt e-postnätverk, som vi ser med de flesta ransomware, och kommer vanligtvis förklädda som ett Word-dokument. När filen körs genererar den ett falskt Word-dokument som verkar vara helt skadat. Istället skannar RAA de tillgängliga enheterna för att leta efter läs- och skrivåtkomst och, om det lyckas, Crypto-JS-biblioteket för att börja kryptera användarens filer.

För att ge förolämpning mot skador buntar RAA också välkända lösenordsstjälprogram Pony, bara för att se till att du verkligen är riktigt skruvad.

Kontrollera Malware för JavaScript

Lyckligtvis, trots det uppenbara hotet från JavaScript-baserad skadlig programvara, kan vi mildra den potentiella faran med vissa grundläggande säkerhetskontroller i både våra e-postkonton och våra Office-sviter. Jag använder Microsoft Office, så dessa tips kommer att fokusera på dessa program, men du bör tillämpa samma säkerhetsprinciper för dina applikationer du använder.

Inaktivera makron

Först kan du inaktivera makron från att automatiskt köras. Ett makro kan innehålla kod utformad för att automatiskt ladda ner och köra skadlig programvara utan att du inser det. Jag visar dig hur du gör detta i Microsoft Word 2016, men processen är relativt lik för alla andra Office-program Hur du skyddar dig mot Microsoft Word MalwareVisste du att din dator kan smittas av skadliga Microsoft Office-dokument eller att du kan tappas in för att aktivera de inställningar de behöver för att infektera din dator? Läs mer .

Bege sig till Arkiv> Alternativ> Trust Center> Inställningar för Trust Center. Under Makroinställningar du har fyra alternativ. Jag väljer att Inaktivera alla makron med avisering, så jag kan välja att köra den om jag är säker på källan. I alla fall, Microsoft rekommenderar att du väljerInaktivera alla makron utom digitalt signerade makron, i direkt relation till spridningen av Locky ransomware.

Makroinställningar för Word 2016

Visa tillägg, använd olika program

Det här är inte helt idiotsäker, men kombinationen av de två ändringarna kommer kanske att rädda dig från att dubbelklicka på fel fil.

Först måste du aktivera filändelser i Windows, som är dolda som standard.

I Windows 10, öppna ett Explorer-fönster och gå till Se flik. Kontrollera Filnamnstillägg.

I Windows 7, 8 eller 8.1, gå till Kontrollpanelen> Utseende och personalisering> Mappalternativ. Under Se fliken, bläddra nedåt Avancerade inställningar tills du ser Dölj filnamnstillägg för kända filtyper.

show-dolda-files.png

Om du av misstag laddar ner en skadlig fil som är förklädd som något annat, bör du kunna se filändelsen före körning.

Den andra delen av detta handlar om att ändra standardprogrammet som används för att öppna JavaScript-filer. Du ser att när du arbetar med JavaScript i din webbläsare finns det ett antal hinder och ramar för att försöka hindra eventuella skadliga händelser från att härja ditt system. När du är utanför webbläsarens helighet och i Windows-skalet kan dåliga saker hända när den filen körs.

Windows 10 JavaScript automatisk applikationsval

Gå till en Js fil. Om du inte vet var eller hur, ange * JS i Windows Explorer sökfält. Ditt fönster bör fylla med filer som är relaterade till detta:

Högerklicka på en fil och välj Egenskaper. Just nu öppnar vår JavaScript-fil med Microsoft Windows Based Script Host. Rulla ner tills du hittar Anteckningar och tryck på OK.

Dubbelkolla

Microsoft Outlook låter dig inte ta emot filer av viss typ. Detta inkluderar både .exe och .js, och är att hindra dig att oavsiktligt införa skadlig programvara på din dator. Men det betyder inte att de inte kan och kommer att glida genom båda andra medel. Det finns tre extremt enkla sätt som ransomware kan packas om:

  • Med filkomprimering: den skadliga koden kan arkiveras och skickas med en annan filändelse som inte utlöser Outlook: s integrerade bilagor.
  • Byt namn på filen: vi stöter ofta på skadlig kod som är förklädda som en annan filtyp. Eftersom de flesta av världen använder någon form av kontorssvit är dokumentformat extremt populära.
  • Med hjälp av en delad server: Det här alternativet är lite mindre troligt, men skadlig e-post kan skickas från en privat FTP eller säker SharePoint-server om det äventyras. Eftersom servern skulle bli listad i Outlook kommer bilagan inte att plockas upp som skadlig.

Se här för en fullständig lista varav tillägg Outlook blockerar som standard.

Konstant vaksamhet

Jag tänker inte ljuga. Det finns ett allmänt hot om skadlig programvara när du är online - men du behöver inte ge efter för trycket. Tänk på webbplatserna du besöker, kontona du registrerar dig och e-postmeddelandena du får. Och även om vi vet att det är svårt för antivirusprogram att hålla jämna steg med det bländande utbudet av skadlig programvara varianter som tappas ut, ladda ner och uppdatera en antivirussvit bör absolut utgöra en del av ditt system försvar.

Har du drabbats av ransomware? Fick du tillbaka dina filer? Vilket lösenprogram var det? Låt oss veta vad som hände med dig!

Bildkrediter: Necrus botnet infektionskarta via malwaretech.com, Bart dekrypteringsgränssnitt och Aktuella infektioner per land båda via phishme.com

Gavin är Senior Writer för MUO. Han är också redaktör och SEO-chef för MakeUseOfs kryptofokuserade systerwebbplats, Blocks Decoded. Han har en BA (Hons) samtidsskrift med digital konstpraxis pillerad från kullarna i Devon, och över ett decennium av professionell skrivupplevelse. Han tycker om stora mängder te.