Реклама
Когда новые экземпляры широко распространенных вымогателей Locky начали иссякать в конце мая В 2016 году исследователи безопасности были уверены, что мы не видели последнее вредоносное ПО для шифрования файлов вариант.
И вот, они были правы.
С 19 июняго Эксперты по безопасности обнаружили миллионы вредоносных сообщений электронной почты, отправленных с вложением, содержащим новый вариант вымогателя Locky. эволюция сделала вредоносное ПО гораздо более опасным За пределами вашего компьютера: 5 способов вымогателей захватит вас в будущемRansomware, вероятно, самая противная вредоносная программа, и преступники, использующие ее, становятся все более продвинутый, вот пять тревожных вещей, которые могут скоро стать заложниками, в том числе умные дома и умные легковые автомобили. Подробнее и сопровождаются измененной тактикой распространения, распространяющей инфекцию дальше, чем раньше.
Это не просто вымогатель Locky, который беспокоит исследователей безопасности. Уже были другие варианты Locky, и похоже, что распределительные сети наращивают «производство» по всему миру, без каких-либо конкретных целей.
JavaScript вымогателей
2016 видел небольшое изменение в распространении вредоносного ПО Не поддавайтесь мошенничеству: руководство по вымогателям и другим угрозам Подробнее . Интернет-пользователи, возможно, только начинают понимать крайние позы вымогателей, но они уже начали развиваться, чтобы оставаться под радаром как можно дольше.
И хотя вредоносные программы, использующие хорошо известные JavaScript-фреймворки, нередки, специалисты по безопасности были поражены потоком вредоносных программ в первом квартале 2016 года. ведущий Элдон Sprickerhoff к государству:
«Эволюция вредоносных программ кажется такой же быстрой и беспощадной, как в любой среде джунглей, где выживание и распространение неразрывно связаны друг с другом. Авторы часто используют совместную функциональность из разных вредоносных программ в следующем поколении кода - регулярно проверяя эффективность и прибыльность каждого поколения ».
Появление вымогателей, закодированных в JavaScript, представляет собой новую проблему, которую пользователи пытаются избежать. Ранее, если вы случайно загрузили или получили вредоносный файл, Windows сканировала расширение файла и решала, представляет ли этот конкретный тип файла опасность для вашей системы.
Например, при попытке запустить неизвестное.EXE файл, вы увидите это предупреждение:
Нет такого предупреждения по умолчанию с JavaScript - .js расширение файла - файлы, что привело к тому, что огромное количество пользователей щелкало мышью, а затем удерживалось за выкуп.
Бот-сети и спам
Подавляющее большинство вымогателей отправляется через вредоносные электронные письма, которые, в свою очередь, отправляются в огромных объемах через огромные сети зараженных компьютеров, которые обычно называют «ботнетом».
Огромный рост числа вымогателей Locky был напрямую связан с ботнетом Necrus, который в среднем 50,000 IP-адреса заражаются каждые 24 часа в течение нескольких месяцев. Во время наблюдения (Anubis Networks) уровень заражения оставался стабильным до 28 мартаго когда был огромный всплеск, достигнув 650,000 инфекции в течение 24 часов. Затем вернитесь к нормальной жизни, хотя и с медленно снижающимся уровнем заражения.
1 июняулицаНекрус затих. Предположение о том, почему ботнет замолчал, невелико, хотя и сосредоточено вокруг арест около 50 российских хакеров. Тем не менее, ботнет возобновил бизнес позже в этом месяце (около 19го июнь), отправив новый вариант Локи миллионам потенциальных жертв. Вы можете увидеть текущее распространение ботнета Necrus на изображении выше - обратите внимание, как он избегает Россию?
Спам-сообщения всегда содержат вложение, претендующее на звание важного документа или архива, отправленного с доверенного (но поддельного) аккаунта. После загрузки и доступа к документу автоматически запускается зараженный макрос или другой вредоносный скрипт, и начинается процесс шифрования.
Будь то Locky, Dridex, CryptoLocker или один из множества вариантов вымогателей Вирусы, шпионские программы, вредоносные программы и т. Д. Объяснил: понимание интернет-угрозКогда вы начинаете задумываться обо всех вещах, которые могут пойти не так, когда вы просматриваете Интернет, сеть начинает выглядеть как довольно страшное место. Подробнее Спам-электронная почта все еще остается предпочтительной сетью доставки для вымогателей, наглядно демонстрируя, насколько успешен этот способ доставки.
Появляются новые претенденты: Барт и РАА
Вредоносная программа JavaScript не единственная угроза Ransomware продолжает расти - как вы можете защитить себя? Подробнее пользователям придется бороться в ближайшие месяцы - хотя у меня есть еще один инструмент JavaScript, о котором я расскажу!
Во-первых, Барт Инфекция использует некоторые довольно стандартные методы вымогателей, используя интерфейс оплаты, похожий на Locky, и предназначаясь для основного списка расширений файлов для шифрования. Однако есть несколько ключевых операционных отличий. В то время как большинству вымогателей необходимо дозвониться домой до сервера управления и контроля для зеленого индикатора шифрования, у Барта нет такого механизма.
Вместо этого Брендан Гриффин и Ронни Токазовски из Фишме полагаю, Барт полагается на «Отдельный идентификатор жертвы, указывающий субъекту угрозы, какой ключ дешифрования следует использовать для создания приложения для расшифровки, которое должно быть доступно тем жертвам, которые платят «выкуп», означающий, что даже если зараженный быстро отключается от Интернета (до получения традиционного разрешения на управление и контроль), вымогатель все равно зашифрует файлы.
Есть еще две вещи, которые отбрасывают Барта в сторону: его цена для расшифровки и конкретный выбор целей. В настоящее время он составляет 3BTC (биткойны), что на момент написания составляет чуть менее $ 2000! Что касается выбора целей, это на самом деле больше, кто Барт не цель. Если Bart определит установленный пользовательский язык русский, украинский или белорусский, он не будет развертываться.
Во-вторых, у нас есть RAAЕще один вариант вымогателей, разработанный полностью на JavaScript. Что делает RAA интересным, так это использование общих библиотек JavaScript. Как мы видим в большинстве программ-вымогателей, RAA распространяется через вредоносную почтовую сеть и обычно замаскирован под документ Word. Когда файл выполняется, он генерирует поддельный документ Word, который кажется полностью поврежденным. Вместо этого RAA сканирует доступные диски, чтобы проверить доступ на чтение и запись и, в случае успеха, библиотеку Crypto-JS, чтобы начать шифрование файлов пользователя.
Чтобы добавить оскорбление ране, RAA также включает в себя хорошо известную программу кражи паролей Pony, просто чтобы убедиться, что вы действительно, действительно облажались.
Управление вредоносным ПО JavaScript
К счастью, несмотря на очевидную угрозу, создаваемую вредоносными программами на основе JavaScript, мы можем уменьшить потенциальную опасность с помощью некоторых основных мер безопасности как в наших учетных записях электронной почты, так и в наших пакетах Office. Я использую Microsoft Office, поэтому эти советы будут сосредоточены на этих программах, но вы должны применять те же принципы безопасности к любым используемым вами приложениям.
Отключить макросы
Во-первых, вы можете отключить автоматический запуск макросов. Макрос может содержать код, предназначенный для автоматической загрузки и запуска вредоносных программ без вашего ведома. Я покажу вам, как сделать это в Microsoft Word 2016, но Процесс относительно аналогичен для всех других программ Office Как защитить себя от вредоносных программ Microsoft WordЗнаете ли вы, что ваш компьютер может быть заражен вредоносными документами Microsoft Office или что вас могут обмануть, чтобы включить параметры, необходимые для заражения вашего компьютера? Подробнее .
Голова к Файл> Параметры> Центр управления безопасностью> Настройки центра управления безопасностью. Под Настройки макроса у вас есть четыре варианта. Я выбираю Отключить все макросы с уведомлением, так что я могу запустить его, если я уверен в источнике. Однако, Microsoft советую выбиратьОтключить все макросы, кроме макросов с цифровой подписью, в прямом отношении к распространению вымогателей Локи.
Показать расширения, использовать другую программу
Это не совсем надежно, но комбинация двух изменений, возможно, избавит вас от двойного щелчка по неправильному файлу.
Во-первых, вам нужно включить расширения файлов в Windows, которые по умолчанию скрыты.
В Windows 10 откройте окно проводника и перейдите к Посмотреть Вкладка. Проверьте Расширения имени файла.
В Windows 7, 8 или 8.1 перейдите на Панель управления> Оформление и персонализация> Параметры папки. Под Посмотреть прокрутите вниз Расширенные настройки пока не заметишь Скрыть расширения для известных типов файлов.
Если вы случайно загрузили вредоносный файл, замаскированный под что-то другое, вы сможете определить расширение файла перед выполнением.
Вторая часть этого включает изменение программы по умолчанию, используемой для открытия файлов JavaScript. Видите ли, когда вы взаимодействуете с JavaScript в своем браузере, существует ряд барьеров и структур, позволяющих предотвратить разрушение вашей системы любыми злонамеренными действиями. Как только вы выйдете из-под контроля браузера и попадете в оболочку Windows, при запуске этого файла могут произойти неприятности.
Голова к .js файл. Если вы не знаете, где и как, введите * .js в панель поиска Windows Explorer. Ваше окно должно заполняться файлами, похожими на это:
Щелкните правой кнопкой мыши файл и выберите свойства. На данный момент наш файл JavaScript открывается с помощью Microsoft Windows Based Script Host. Прокрутите вниз, пока не найдете Блокнот и нажмите хорошо.
Двойная проверка
Microsoft Outlook не позволяет получать файлы определенного типа. Это относится как к файлам .exe, так и к файлам .js и предотвращает непреднамеренное внедрение вредоносных программ на ваш компьютер. Однако это не означает, что они не могут и не будут проскальзывать через оба других средства. Существует три чрезвычайно простых способа перекомпоновки вымогателей:
- Использование сжатия файлов: вредоносный код может быть заархивирован и отправлен с другим расширением файла, которое не вызывает встроенную блокировку вложений в Outlook.
- Переименовать файл: мы часто сталкиваемся с вредоносным кодом, замаскированным под другой тип файла. Поскольку большая часть мира использует некоторые формы офисного пакета, форматы документов чрезвычайно популярны.
- Использование общего сервера: этот вариант немного менее вероятен, но в случае компрометации вредоносная почта может отправляться с частного FTP или защищенного сервера SharePoint. Поскольку сервер будет включен в белый список в Outlook, вложение не будет считаться вредоносным.
Смотрите здесь для полного списка из которых расширения Outlook блокирует по умолчанию.
Постоянная бдительность
Я не собираюсь лгать. Существует вездесущая угроза вредоносного ПО, когда вы онлайн, но вам не нужно поддаваться давлению. Рассмотрите сайты, которые вы посещаете, учетные записи, на которые вы регистрируетесь, и электронные письма, которые вы получаете. И хотя мы знаем, что антивирусному программному обеспечению трудно идти в ногу с ослепительным набором вредоносных программ выбор версий, загрузка и обновление антивирусного пакета должны быть абсолютно частью вашей системы защита.
Вы пострадали от вымогателей? Вы вернули свои файлы? Какой вымогатель это был? Дайте нам знать, что случилось с вами!
Кредиты изображений: Карта заражения ботнетом Necrus через malwaretech.com, Интерфейс Барт дешифрования и текущие инфекции по странам, как через phishme.com
Гэвин - старший писатель MUO. Он также является редактором и SEO-менеджером сайта крипто-ориентированных сайтов MakeUseOf, Blocks Decoded. Он имеет степень бакалавра (с отличием) современного письма и практики цифрового искусства, разграбленные с холмов Девона, а также более чем десятилетний профессиональный опыт написания. Он наслаждается обильным количеством чая.