Seguridad

Su nueva amenaza de seguridad para 2016 JavaScript Ransomware

Su nueva amenaza de seguridad para 2016 JavaScript Ransomware / Seguridad

Cuando a finales de mayo de 2016 empezaron a agotarse las nuevas instancias del ransomware Locky de amplia distribución, los investigadores de seguridad estaban seguros de que no habíamos visto la última variante del malware de cifrado de archivos..

He aquí que tenían razón..

Desde el 19 de junioth los expertos en seguridad han observado millones de mensajes de correo electrónico maliciosos enviados con un archivo adjunto que contiene una nueva variante del ransomware Locky. La evolución parece haber hecho que el malware sea mucho más peligroso Más allá de tu computadora: 5 maneras en que Ransomware te llevará cautivo en el futuro Más allá de tu computadora: 5 maneras en que Ransomware te llevará cautivo en el futuro Ransomware es probablemente el malware más desagradable que existe, y el los criminales que lo usan se están volviendo más avanzados. Aquí hay cinco cosas preocupantes que podrían ser tomadas como rehenes pronto, incluyendo hogares inteligentes y autos inteligentes. Lea más, y se acompaña de una táctica de distribución alterada, que propaga la infección más de lo que se había visto anteriormente.

No se trata solo del ransomware Locky que preocupa a los investigadores de seguridad. Ya ha habido otras variantes de Locky, y parece que las redes de distribución están aumentando “producción” En todo el mundo, sin objetivos particulares en mente.

JavaScript Ransomware

2016 ha visto un ligero cambio en la distribución de malware. No caiga en la falta de los estafadores: una guía para el ransomware y otras amenazas No se equivoque en los estafadores: una guía para el ransomware y otras amenazas Lea más. Es posible que los usuarios de Internet solo estén empezando a comprender las amenazas extremas del ransomware, pero ya ha comenzado a evolucionar para permanecer bajo el radar el mayor tiempo posible..

Y mientras que los programas maliciosos que utilizan marcos de JavaScript conocidos no son infrecuentes, los profesionales de la seguridad se vieron abrumados por una avalancha de programas maliciosos en el primer trimestre de 2016, lo que llevó a Eldon Sprickerhoff a declarar:

“La evolución de los programas maliciosos parece ser tan rápida y feroz como cualquier entorno de selva, donde la supervivencia y la propagación van de la mano. Los autores con frecuencia han optado por la funcionalidad cooptada de diferentes cepas de malware a la siguiente generación de código: muestreando regularmente la eficacia y la rentabilidad de cada generación..”

El advenimiento de ransomware codificado en JavaScript presenta un nuevo desafío para que los usuarios intenten evitarlo. Anteriormente, si descargaba accidentalmente o le enviaban un archivo malicioso, Windows escanearía la extensión del archivo y decidiría si este tipo de archivo en particular representa un peligro para su sistema..

Por ejemplo, cuando intenta ejecutar un desconocido .exe archivo, te encontrarás con esta advertencia:

No existe tal advertencia predeterminada con JavaScript: la .js extensión de archivo: archivos, lo que ha llevado a un gran número de usuarios a hacer clic sin pensar, y luego a ser retenidos.

Botnets y Spam Email

La gran mayoría del ransomware se envía a través de correos electrónicos maliciosos, que a su vez se envían en grandes volúmenes a través de redes masivas de computadoras infectadas, lo que comúnmente se conoce como “botnet.”

El enorme aumento del ransomware Locky se ha vinculado directamente a la botnet Necrus, que registró un promedio de 50,000 Direcciones IP infectadas cada 24 horas durante varios meses. Durante la observación (por Anubis Networks), las tasas de infección se mantuvieron estables hasta el 28 de marzo.th cuando hubo una gran oleada, alcanzando 650,000 Infecciones durante un período de 24 horas. Luego, volver al trabajo como de costumbre, aunque con una tasa de infección que disminuye lentamente.

El 1 de junioS t, Necrus se quedó en silencio. La especulación sobre por qué la botnet se quedó en silencio es escasa, aunque está centrada en el arresto de alrededor de 50 hackers rusos. Sin embargo, la red de bots volvió a funcionar a finales de mes (alrededor del 19th Junio), enviando la nueva variante de Locky a millones de víctimas potenciales. Puede ver la extensión actual de la botnet Necrus en la imagen de arriba - observe cómo evita a Rusia?

Los correos electrónicos no deseados siempre contienen un archivo adjunto, que pretende ser un documento o archivo importante enviado desde una cuenta confiable (pero falsificada). Una vez que se descarga y se accede al documento, se ejecutará automáticamente una macro infectada u otro script malicioso, y comenzará el proceso de cifrado..

Ya sea Locky, Dridex, CryptoLocker o una de las innumerables variantes de ransomware Virus, Spyware, Malware, etc. Explicado: Cómo comprender las amenazas en línea Virus, Spyware, Malware, etc. Explicado: Cómo comprender las amenazas en línea Cuando empiezas a pensar en todas las cosas. Podría salir mal al navegar por Internet, la web comienza a parecer un lugar bastante aterrador. Más información: el correo electrónico no deseado sigue siendo la mejor red de distribución de ransomware, e ilustra claramente el éxito de este método de entrega..

Aparecen nuevos retadores: Bart y RAA

El malware de JavaScript no es la única amenaza que Ransomware sigue creciendo - ¿Cómo puede protegerse? El ransomware sigue creciendo: ¿cómo puede protegerse? Los usuarios de Read More tendrán que lidiar en los próximos meses, aunque tengo otra herramienta de JavaScript para informarle.!

En primer lugar, el Bart la infección aprovecha algunas técnicas de ransomware bastante estándar, utilizando una interfaz de pago similar a Locky y dirigiéndose a una lista general de extensiones de archivo para cifrado. Sin embargo, hay un par de diferencias operativas clave. Si bien la mayoría de los ransomware necesitan llamar a un servidor de comando y control para la luz verde del cifrado, Bart no cuenta con este mecanismo..

En cambio, Brendan Griffin y Ronnie Tokazowski de Phishme creen que Bart confía en un “identificador de víctima distinto para indicar al actor de amenazas qué clave de descifrado se debe usar para crear la aplicación de descifrado supuestamente disponible para aquellas víctimas que pagan el rescate,” es decir, incluso si el infectado se desconecta rápidamente de Internet (antes de recibir el comando y control tradicional), el ransomware seguirá cifrando los archivos..

Hay dos cosas más que hacen a Bart aparte: su precio de descifrado y su elección específica de objetivos. Actualmente se encuentra en 3BTC (bitcoin), ¡que en el momento de escribir esto equivale a poco menos de $ 2000! En cuanto a una selección de objetivos, en realidad es más que Bart no hace objetivo. Si Bart determina un idioma de usuario instalado en ruso, ucraniano o bielorruso, no se implementará.

En segundo lugar, tenemos RAA, Otra variante de ransomware desarrollada íntegramente en JavaScript. Lo que hace interesante a RAA es su uso de bibliotecas de JavaScript comunes. RAA se distribuye a través de una red de correo electrónico malintencionado, como vemos con la mayoría de los ransomware, y generalmente viene disfrazado como un documento de Word. Cuando se ejecuta el archivo, genera un documento falso de Word que parece estar completamente dañado. En su lugar, RAA escanea las unidades disponibles para verificar el acceso de lectura y escritura y, si tiene éxito, la biblioteca Crypto-JS para comenzar a cifrar los archivos del usuario.

Para agregar insultos a las lesiones, RAA también incluye el conocido programa de robo de contraseñas Pony, solo para asegurarte de que estás realmente, realmente jodido.

Controlando Malware de JavaScript

Afortunadamente, a pesar de la amenaza obvia que representa el malware basado en JavaScript, podemos mitigar el peligro potencial con algunos controles de seguridad básicos en nuestras cuentas de correo electrónico y nuestras suites de Office. Uso Microsoft Office, por lo que estos consejos se centrarán en esos programas, pero debe aplicar los mismos principios de seguridad a las aplicaciones que use..

Deshabilitar macros

Primero, puedes deshabilitar la ejecución automática de macros. Una macro puede contener código diseñado para descargar y ejecutar malware automáticamente, sin que usted se dé cuenta. Le mostraré cómo hacer esto en Microsoft Word 2016, pero el proceso es relativamente similar para todos los demás programas de Office. Cómo protegerse de Microsoft Word Malware Cómo protegerse de Microsoft Word Malware ¿Sabía que su computadora puede estar infectada? ¿Por documentos malintencionados de Microsoft Office, o que podría ser engañado para habilitar la configuración que necesitan para infectar su computadora? Lee mas .

Dirigirse a Archivo> Opciones> Centro de confianza> Configuración del centro de confianza. Debajo Ajustes de macros tienes cuatro opciones Yo elijo Deshabilitar todas las macros con notificación, Así que puedo optar por ejecutarlo si estoy seguro de la fuente. Sin embargo, Microsoft aconseja seleccionar Deshabilitar todas las macros excepto macros firmadas digitalmente, en relación directa con la propagación del ransomware Locky.

Mostrar Extensiones, Usar Programa Diferente

Esto no es totalmente infalible, pero la combinación de los dos cambios tal vez le ahorrará hacer doble clic en el archivo incorrecto.

Primero, debe habilitar las extensiones de archivo dentro de Windows, que están ocultas por defecto.

En Windows 10, abra una ventana del Explorador y diríjase a Ver lengüeta. Comprobar Extensiones de nombre de archivo.

En Windows 7, 8 o 8.1, dirígete a Panel de control> Apariencia y personalización> Opciones de carpeta. Bajo la Ver pestaña, desplácese hacia abajo Ajustes avanzados hasta que descubras Ocultar las extensiones para tipos de archivo conocidos.

Si descarga accidentalmente un archivo malicioso disfrazado de otra cosa, debería poder detectar la extensión del archivo antes de la ejecución..

La segunda parte de esto implica cambiar el programa predeterminado que se usa para abrir archivos JavaScript. Usted ve, cuando se involucra con JavaScript dentro de su navegador, hay una serie de barreras y marcos en su lugar para intentar evitar que cualquier suceso malicioso dañe su sistema. Una vez que estás fuera de la santidad del navegador y en el shell de Windows, pueden ocurrir cosas malas cuando se ejecuta ese archivo.

Dirigirse a un .js expediente. Si no sabes dónde o cómo, ingresa * .js en la barra de búsqueda del Explorador de Windows. Su ventana debería llenar con archivos similares a esto:

Haga clic derecho en un archivo y seleccione Propiedades. En este momento, nuestro archivo JavaScript se abre con Microsoft Windows Based Script Host. Desplácese hacia abajo hasta que encuentre Bloc y presione DE ACUERDO.

Doble verificación

Microsoft Outlook no le permite recibir archivos de cierto tipo. Esto incluye tanto .exe como .js, y le impide introducir malware en su computadora sin darse cuenta. Sin embargo, eso no significa que no puedan y no se deslizarán por otros medios. Hay tres formas extremadamente fáciles de reenvasar el ransomware:

  • Usando compresión de archivos: el código malicioso se puede archivar y se envía con una extensión de archivo diferente que no activa el bloqueo integrado de archivos adjuntos de Outlook.
  • Renombrar el archivo: frecuentemente encontramos códigos maliciosos disfrazados de otro tipo de archivo. Como la mayoría del mundo usa algún tipo de paquete de ofimática, los formatos de documentos son extremadamente populares.
  • Usando un servidor compartido: esta opción es un poco menos probable, pero el correo malicioso se puede enviar desde un servidor FTP privado o seguro de SharePoint si está comprometido. Como el servidor se incluiría en la lista blanca dentro de Outlook, el archivo adjunto no se tomaría como malicioso.

Vea aquí una lista completa de las extensiones que Outlook bloquea de forma predeterminada.

Vigilancia constante

No voy a mentir. Existe una amenaza omnipresente de malware cuando estás en línea, pero no tienes que sucumbir a la presión. Considere los sitios que está visitando, las cuentas a las que se está registrando y los correos electrónicos que está recibiendo. Y aunque sabemos que es difícil para el software antivirus mantener el ritmo con la deslumbrante variedad de variantes de malware producidas, la descarga y la actualización de una suite de antivirus deben formar parte de la defensa de su sistema..

¿Ha sido golpeado por ransomware? ¿Recuperaste tus archivos? ¿Qué ransomware fue? Háganos saber lo que le pasó!

Créditos de las imágenes: mapa de infección de la red de bots Necrus a través de malwaretech.com, interfaz de descifrado de Bart e infecciones actuales por país, tanto a través de phishme.com

Explorar más sobre: ​​JavaScript, Microsoft Office 2016, Ransomware.