Sécurité

Votre nouvelle menace de sécurité pour 2016 JavaScript Ransomware

Votre nouvelle menace de sécurité pour 2016 JavaScript Ransomware / Sécurité

Lorsque les nouvelles instances du logiciel largement répandu Locky ransomware ont commencé à se tarir vers la fin du mois de mai 2016, les chercheurs en sécurité étaient certains que nous n'avions pas vu la dernière version de la variante de logiciel malveillant à chiffrement de fichiers..

Et voilà, ils avaient raison.

Depuis le 19 juinth Les experts en sécurité ont observé des millions de courriels malveillants envoyés avec une pièce jointe contenant une nouvelle variante du ransomware Locky. L’évolution semble avoir rendu le logiciel malveillant beaucoup plus dangereux Au-delà de votre ordinateur: 5 façons dont Ransomware vous captivera dans le futur Au-delà de votre ordinateur: 5 façons que Ransomware vous prendra en captivité dans le futur les criminels qui l'utilisent sont de plus en plus avancés. Voici cinq choses inquiétantes qui pourraient être prises en otage prochainement, notamment les maisons intelligentes et les voitures intelligentes. En savoir plus, et sont accompagnés d’une tactique de distribution modifiée, propageant l’infection plus loin que jamais..

Les ransomwares de Locky n’inquiètent pas uniquement les chercheurs en sécurité. Il y a déjà eu d'autres variantes de Locky et il semble que les réseaux de distribution se développent “production” dans le monde entier, sans objectif particulier en tête.

JavaScript Ransomware

L'année 2016 a été marquée par un léger changement dans la distribution des logiciels malveillants. Ne vous fâchez pas contre les fraudeurs: Guide de ransomware et autres menaces Ne craignez pas les trafiquants: guide de Ransomware et autres menaces Lisez plus. Les utilisateurs d’Internet commencent peut-être à peine à comprendre la menace extrême que représente le ransomware, mais celui-ci a déjà commencé à évoluer pour rester sous le radar le plus longtemps possible..

Et bien que les logiciels malveillants utilisant des infrastructures JavaScript bien connues ne soient pas rares, les professionnels de la sécurité ont été submergés par un déluge de logiciels malveillants au premier trimestre de 2016, ce qui a conduit Eldon Sprickerhoff à déclarer:

“L'évolution des logiciels malveillants semble être aussi rapide et aussi féroce que n'importe quel environnement de jungle, où survie et propagation vont de pair. Les auteurs ont souvent intégré dans la prochaine génération de code les fonctionnalités de différentes variétés de malwares, analysant régulièrement l'efficacité et la rentabilité de chaque génération..”

L'avènement des ransomwares codés en JavaScript présente un nouveau défi à éviter pour les utilisateurs. Auparavant, si vous téléchargiez ou envoyez accidentellement un fichier malveillant, Windows analysait l'extension du fichier et décidait si ce type de fichier en particulier constituait un danger pour votre système..

Par exemple, lorsque vous essayez d’exécuter un programme inconnu .EXE fichier, vous rencontrerez cet avertissement:

Il n’existe pas de tel avertissement par défaut avec JavaScript - la .js extension de fichier - fichiers, ce qui a conduit un grand nombre d'utilisateurs à cliquer sans réfléchir, puis à être retenus contre rançon.

Botnets et Spam Email

La grande majorité des ransomwares sont envoyés via des courriels malveillants, qui sont à leur tour envoyés en énormes volumes via des réseaux énormes d'ordinateurs infectés, communément appelé “botnet.”

L’énorme hausse de Locky ransomware a été directement liée au botnet Necrus, qui a enregistré une moyenne de 50 000 Adresses IP infectées toutes les 24 heures pendant plusieurs mois. Au cours de l'observation (par Anubis Networks), les taux d'infection sont restés stables jusqu'au 28 mars.th quand il y avait une énorme poussée, atteignant 650 000 infections sur une période de 24 heures. Puis, retour à la normale, avec un taux d’infections en baisse lente.

Le 1er juinst, Nécrus se tut. Les spéculations sur le silence du botnet sont minces, mais centrées sur l’arrestation d’une cinquantaine de pirates informatiques russes. Cependant, le botnet a repris ses activités plus tard dans le mois (environ le 19th Juin), envoyant la nouvelle variante de Locky à des millions de victimes potentielles. Vous pouvez voir la propagation actuelle du botnet Necrus dans l'image ci-dessus - notez comment cela évite la Russie?

Les e-mails de spam contiennent toujours une pièce jointe, censée être un document ou une archive importante envoyée à partir d'un compte de confiance (mais parodié). Une fois le document téléchargé et auquel l'utilisateur a accédé, il lance automatiquement une macro infectée ou un autre script malveillant et le processus de cryptage commence..

Que ce soit Locky, Dridex, CryptoLocker ou l’une des innombrables variantes de virus, logiciels espions, logiciels malveillants, etc. Expliqué: Comprendre les menaces en ligne Virus, logiciels espions, Logiciels malveillants, etc. pourrait mal se passer lors de la navigation sur Internet, le Web commence à ressembler à un endroit assez effrayant. En savoir plus, le courrier électronique indésirable reste le réseau de livraison de choix pour les ransomwares, illustrant clairement le succès de cette méthode de diffusion..

Nouveaux challengers apparaissent: Bart et RAA

Les logiciels malveillants JavaScript ne sont pas la seule menace Ransomware poursuit sa croissance - Comment se protéger? Ransomware continue de croître - Comment vous protéger? Lire plus d'utilisateurs devront faire face dans les mois à venir - même si j'ai un autre outil JavaScript pour vous parler de!

Tout d'abord, le Bart L’infection tire parti de techniques ransomware assez classiques, utilisant une interface de paiement similaire à celle de Locky et ciblant une liste classique d’extensions de fichiers à chiffrer. Cependant, il existe quelques différences opérationnelles clés. Alors que la plupart des ransomwares doivent appeler un serveur de commande et de contrôle pour le feu vert de chiffrement, Bart ne dispose pas d'un tel mécanisme..

Au lieu de cela, Brendan Griffin et Ronnie Tokazowski de Phishme croient que Bart s’appuie sur un “identifiant distinct de victime pour indiquer à l'acteur du danger quelle clé de déchiffrement doit être utilisée pour créer l'application de déchiffrement censée être disponible pour les victimes qui paient la rançon,” ce qui signifie que même si l'infecté est rapidement déconnecté d'Internet (avant de recevoir la commande et le contrôle traditionnels), le ransomware chiffrera toujours les fichiers.

Bart se démarque de deux autres choses: son prix de décryptage et son choix spécifique de cibles. Il se situe actuellement à 3BTC (bitcoin), ce qui à l'heure actuelle équivaut à un peu moins de 2 000 $! En ce qui concerne le choix des cibles, c’est en fait davantage qui Bart ne pas cible. Si Bart détermine une langue d’utilisateur installée, le russe, l’ukrainien ou le biélorusse, elle ne se déploiera pas..

Deuxième place, nous avons RAA, une autre variante de ransomware développée entièrement en JavaScript. Ce qui rend RAA intéressant, c’est son utilisation des bibliothèques JavaScript courantes. Le RAA est distribué via un réseau de messagerie malveillant, comme on peut le voir avec la plupart des ransomwares, et est généralement déguisé en document Word. Lorsque le fichier est exécuté, il génère un faux document Word qui semble être entièrement corrompu. RAA analyse plutôt les lecteurs disponibles pour vérifier les accès en lecture et en écriture et, en cas de succès, la bibliothèque Crypto-JS pour commencer à chiffrer les fichiers de l'utilisateur..

RAA regroupe également le programme bien connu de vol de mots de passe Pony, histoire de vous faire vraiment foutre..

Contrôle des logiciels malveillants JavaScript

Heureusement, malgré la menace évidente posée par les logiciels malveillants basés sur JavaScript, nous pouvons atténuer le danger potentiel grâce à des contrôles de sécurité de base dans nos comptes de messagerie et nos suites Office. J'utilise Microsoft Office. Ces conseils sont donc axés sur ces programmes, mais vous devez appliquer les mêmes principes de sécurité à toutes les applications que vous utilisez..

Désactiver les macros

Tout d'abord, vous pouvez désactiver l'exécution automatique des macros. Une macro peut contenir du code conçu pour télécharger et exécuter automatiquement des logiciels malveillants, sans que vous vous en rendiez compte. Je vais vous montrer comment faire cela dans Microsoft Word 2016, mais le processus est relativement similaire pour tous les autres programmes Office. Comment vous protéger contre les logiciels malveillants Microsoft Word Comment vous protéger contre les logiciels malveillants Microsoft Word Saviez-vous que votre ordinateur peut être infecté? par des documents Microsoft Office malveillants, ou que vous pourriez être dupé en activant les paramètres nécessaires pour infecter votre ordinateur? Lire la suite .

Se diriger vers Fichier> Options> Centre de gestion de la confidentialité> Paramètres du Centre de gestion de la confidentialité. Sous Paramètres de macro vous avez quatre options. Je choisis de Désactiver toutes les macros avec notification, afin que je puisse choisir de l'exécuter si je suis sûr de la source. Cependant, Microsoft conseille de choisir Désactiver toutes les macros sauf les macros signées numériquement, en relation directe avec la propagation du ransomware Locky.

Afficher les extensions, utiliser un programme différent

Ce n'est pas tout à fait infaillible, mais la combinaison des deux modifications vous évitera peut-être de double-cliquer sur le mauvais fichier..

Tout d’abord, vous devez activer les extensions de fichier sous Windows, qui sont masquées par défaut..

Sous Windows 10, ouvrez une fenêtre de l’explorateur et dirigez-vous vers le Vue languette. Vérifier Extensions de noms de fichiers.

Sous Windows 7, 8 ou 8.1, allez à Panneau de configuration> Apparence et personnalisation> Options des dossiers. Sous le Vue onglet, faites défiler le Réglages avancés jusqu'à ce que vous remarquiez Masquer les extensions pour les types de fichiers connus.

Si vous téléchargez accidentellement un fichier malveillant déguisé en quelque chose d'autre, vous devriez pouvoir repérer l'extension du fichier avant l'exécution..

La deuxième partie consiste à changer le programme par défaut utilisé pour ouvrir les fichiers JavaScript. Vous voyez, lorsque vous utilisez JavaScript dans votre navigateur, un certain nombre d'obstacles et de cadres sont en place pour tenter d'empêcher tout événement malveillant de ravager votre système. Une fois hors du sacré du navigateur et dans le shell Windows, des problèmes peuvent survenir lorsque ce fichier est exécuté..

Dirigez-vous vers un .js fichier. Si vous ne savez ni où ni comment, entrez * .js dans la barre de recherche de Windows Explorer. Votre fenêtre devrait remplir avec des fichiers semblables à ceci:

Cliquez avec le bouton droit sur un fichier et sélectionnez Propriétés. Au moment où notre fichier JavaScript s'ouvre avec Microsoft Windows Based Script Host. Faites défiler jusqu'à trouver Bloc-notes et appuyez sur D'accord.

Revérifier

Microsoft Outlook ne vous permet pas de recevoir des fichiers d'un certain type. Cela inclut les fichiers .exe et .js, et vise à vous empêcher d'introduire par inadvertance des logiciels malveillants sur votre ordinateur. Cependant, cela ne signifie pas qu'ils ne peuvent pas et ne voudront pas échapper aux deux autres moyens. Il existe trois manières extrêmement simples de rempoter un ransomware:

  • Utiliser la compression de fichier: le code malveillant peut être archivé et est envoyé avec une extension de fichier différente qui ne déclenche pas le blocage des pièces jointes Outlook.
  • Renommer le fichier: nous rencontrons souvent un code malveillant déguisé en un autre type de fichier. Comme la majeure partie du monde utilise une sorte de suite bureautique, les formats de document sont extrêmement populaires..
  • Utiliser un serveur partagé: cette option est un peu moins probable, mais des courriers malveillants peuvent être envoyés à partir d'un serveur FTP privé ou sécurisé SharePoint s'ils sont compromis. Comme le serveur serait inscrit à la liste blanche dans Outlook, la pièce jointe ne serait pas récupérée comme malveillante..

Voir ici pour une liste complète des extensions bloquées par Outlook.

Vigilance constante

Je ne vais pas mentir. Il existe une menace omniprésente de logiciels malveillants lorsque vous êtes en ligne - mais vous n’êtes pas obligé de céder à la pression. Examinez les sites que vous visitez, les comptes auxquels vous vous connectez et les courriels que vous recevez. Et même si nous savons qu'il est difficile pour un logiciel antivirus de suivre le nombre impressionnant de variantes de logiciels malveillants créées, le téléchargement et la mise à jour d'une suite antivirus doivent absolument faire partie de la défense de votre système..

Avez-vous été touché par un ransomware? Avez-vous récupéré vos fichiers? Quel ransomware était-ce? Dites-nous ce qui vous est arrivé!

Crédits image: carte d'infection Necrus Botnet via malwaretech.com, interface de décryptage Bart et infections actuelles par pays via phishme.com

En savoir plus sur: JavaScript, Microsoft Office 2016, Ransomware.