Реклама

Када су се крајем маја појавили нови случајеви широко дистрибуираног Лоцки рансомвареа Истраживачи за безбедност у 2016. били су сигурни да нисмо видели последњи злонамерни софтвер за шифрирање датотека вариант.

Ево и били су у праву.

Од 19. јунатх стручњаци за безбедност приметили су милионе злонамерних порука е-поште послатих са прилогом који садрже нову варијанту Лоцки рансомвареа. Тхе Чини се да је еволуција малваре постала знатно опаснија Иза вашег рачунара: 5 начина да вас Рансомваре у будућности ухвати заробљенимРансомваре је вероватно најгори злонамерни софтвер вани, а криминалаца који га користе све је више напредно, ево пет забрињавајућих ствари које би ускоро могле бити таоци, укључујући паметне куће и паметне аутомобили. Опширније , и праћени су измењеном тактиком дистрибуције, ширећи инфекцију даље него што је раније видети.

Истраживачи безбедности не брину само Лоцки рансомваре. Већ су постојале друге верзије Лоцкија, а чини се да дистрибутивне мреже повећавају „производњу“ широм света, без посебне циљеве на уму.

instagram viewer

ЈаваСцрипт Рансомваре

2016. година је виђена незнатан помак у дистрибуцији злонамјерног софтвера Немојте пасти лажима: Водич за откуп и друге претње Опширније . Корисници интернета можда тек почињу да разумеју екстремне опасне потхвате, али то се већ почело развијати како би што дуже остало под радарима.

Ток датотеке датотеке Рансомваре

И иако злонамјерни софтвер који користи познате ЈаваСцрипт оквире није ријеткост, сигурносни професионалци били су преплављени великом количином злонамјерног софтвера у првом кварталу 2016. године водећи Елдона Сприцкерхоффа да каже:

„Чини се да је еволуција злонамјерног софтвера једнако брза и несметана као и свако окружење у џунгли, где опстанак и ширење иду руку под руку. Аутори су често кооптирали функционалности из различитих сојева злонамјерног софтвера у кодове нове генерације - редовно узоркујући ефикасност и профитабилност сваке генерације. "

Појава рансомвареа кодираног у ЈаваСцрипт представља нови изазов за кориснике који то покушавају избјећи. Раније, ако сте случајно преузели или вам послали злонамерну датотеку, Виндовс би скенирао датотечни наставак и одлучио да ли та врста датотеке представља опасност за ваш систем или не.

На пример, када покушате да покренете непознато.еке датотеке, наићи ћете на ово упозорење:

Дијалог упозорења за отворену датотеку Виндовс

Не постоји такво подразумевано упозорење са ЈаваСцрипт-ом .јс екстензија датотеке - датотеке, што је довело до огромног броја корисника који без размишљања кликну, а затим су задржани због откупнине.

Ботнетс и е-пошта од нежељене поште

Огромна већина рансомвареа шаље се путем злонамерних е-порука, које се заузврат шаљу у огромним количинама преко масивне мреже заражених рачунара, која се обично назива "ботнет".

Огромни пораст Лоцки рансомвареа повезан је директно са Нецрус бонетнетом, који је имао просек 50,000 ИП адресе се заражавају на сваких 24 сата током неколико месеци. Током посматрања (од стране Анубис Нетворкс), стопа инфекције остала је стална, све до 28. мартатх када је био огроман налет, досезање 650,000 инфекције током 24 сата. Затим се вратите послу као и обично, мада са споро падајућом стопом инфекције.

Мапа инфекције Ботнет-а

1. јунаст, Нецрус је утихнуо. Шпекулације о томе зашто је ботнет утихнуо су малене, иако много усредсређене на њих хапшење око 50 руских хакера. Међутим, ботнет је наставио пословање касније током месеца (око 19тх Јуна), слањем нове варијанте Лоцки милионима потенцијалних жртава. На горњој слици можете видети тренутно ширење Нецрус бонетне мреже - приметите како то избегава Русију?

Нежељена пошта увек садржи прилог, који представља важан документ или архиву послан са поверљивог (али споофед) налога. Након преузимања и приступа документу аутоматски ће покренути заражену макронаредбу или другу злонамерну скрипту и поступак шифровања започиње.

Било да су Лоцки, Дридек, ЦриптоЛоцкер или једна од безбројних варијанти рансомвареа Вируси, шпијунски софтвер, злонамерни софтвер итд. Објашњено: Разумевање претњи на мрежиКада почнете размишљати о свим стварима које би могле поћи по злу приликом претраживања интернета, Интернет почиње да изгледа као прилично застрашујуће место. Опширније , нежељена пошта је и даље мрежа за доставу рансомвареа, јасно показује колико је успешан овај начин испоруке.

Појављују се нови изазови: Барт и РАА

ЈаваСцрипт малваре није једина претња Рансомваре наставља да расте - како се можете заштитити? Опширније корисници ће се морати супротставити у наредним месецима - иако имам још један ЈаваСцрипт алат да вам кажем!

Прво горе Барт инфекција користи неке прилично стандардне рансомваре технике, користећи сличан интерфејс за плаћање као Лоцки и циља главну листу екстензија датотека за шифрирање. Међутим, постоји неколико кључних оперативних разлика. Док већина рансомвареа треба да позове кући на командни и контролни сервер ради зеленог светла за шифровање, Барт нема такав механизам.

Куповински интерфејс Барт Децриптор-а

Уместо тога, Брендан Гриффин и Ронние Токазовски из Пхисхме-а верујем да се Барт ослања на „Посебан идентификатор жртве како би указао актеру претње који би кључ за дешифровање требало да се користи за креирање апликације за дешифровање која би требало да буде доступна оним жртвама које плаћају откупнина “, што значи чак и ако се заражени брзо прекине са Интернетом (пре него што прими традиционалну команду и контролише напред), рансомваре ће и даље шифровати фајлови.

Двије ствари издвајају Барту: дешифрирање тражене цијене и специфичан избор циљева. Тренутно стоји 3БТЦ (битцоин), што у тренутку писања износи нешто мање од 2000 долара! Што се тиче избора мета, заправо је више ко је Барт не таргет. Ако Барт одреди инсталирани кориснички језик руски, украјински или белоруски, неће се користити.

Барт инфекције по земљама

Друго горе, имамо РАА, још једна варијанта рансомвареа развијена у потпуности у ЈаваСцрипт-у. РАА чини занимљивом коришћење заједничких ЈаваСцрипт библиотека. РАА се дистрибуира путем злонамерне мреже е-поште, као што видимо код већине рансомвареа, и обично се прерушава у Ворд документ. Када се датотека изврши, он генерира лажни Ворд документ који је, чини се, у потпуности оштећен. Уместо тога, РАА скенира расположиве диск јединице да би проверио приступ за читање и писање и, ако је успешан, библиотека Црипто-ЈС да започне шифровање корисничких датотека.

Да би додали увреде повредама, РАА такође купује познати програм за крађу лозинке Пони, само да би се уверили да сте стварно, заиста зајебани.

Контрола ЈаваСцрипт малваре-а

Срећом, упркос очигледној претњи коју представља ЈаваСцрипт са основним софтвером, потенцијалну опасност можемо умањити неким основним безбедносним контролама и на нашим рачунима е-поште и у нашим Оффице пакетима. Користим Мицрософт Оффице, тако да ће се ови савети усредсредити на те програме, али исте принципе безбедности треба да примените на било које апликације које користите.

Онемогући макрое

Прво, макрое можете онемогућити да се аутоматски покрећу. Макро може садржавати код осмишљен за аутоматско преузимање и извршавање злонамјерног софтвера, а да то не схватите. Показаћу вам како то да урадите у програму Мицрософт Ворд 2016, али Процес је релативно сличан за све остале Оффице програме Како се заштитити од штетног софтвера Мицрософт ВордДа ли сте знали да ваш рачунар може бити заражен злонамерним документима Мицрософт Оффице-а или да бисте могли да доведете до омогућавања поставки које су потребне да заразе ваш рачунар? Опширније .

Иди на Датотека> Опције> Центар поверења> Подешавања центра за поузданост. Испод Подешавања макроа имате четири могућности. Ја бирам Онемогућите све макронаредбе нотификацијом, па могу изабрати да га покренем ако сам сигуран у извор. Међутим, Мицрософт саветује изборОнемогући све макрое осим макронаредби с дигиталним потписом, у директној вези са ширењем Лоцки рансомвареа.

Ворд 2016 Мацро Сеттингс

Прикажи проширења, користите другачији програм

Ово није потпуно глупо, али комбинација две промене ће вас можда спасити од дуплог клика на погрешну датотеку.

Прво, морате да омогућите екстензије датотека унутар оперативног система Виндовс, које су подразумевано скривене.

У Виндовс-у 10 отворите прозор Екплорера и крените на Поглед картицу. Проверавати Додаци за назив датотеке.

У Виндовсима 7, 8 или 8.1, идите на Контролна табла> Изглед и персонализација> Опције мапе. Под Поглед, помичите се надоле Напредна подешавања док не нађете Сакриј екстензије за познате типове датотека.

схов-хидден-филес.пнг

Ако сте случајно преузели злонамерну датотеку прерушену у нешто друго, требали бисте бити у могућности да уочите екстензију датотеке пре извршења.

Други део тога укључује промену подразумеваног програма који се користи за отварање ЈаваСцрипт датотека. Видите, када сарађујете са ЈаваСцрипт-ом у оквиру прегледача, постоје бројне препреке и оквири који покушавају да зауставе било какве злонамерне догађаје који пустоше ваш систем. Једном када се нађете изван светости прегледача и уђете у Виндовс схелл, могу се догодити лоше ствари када се та датотека изврши.

Аутоматски избор Виндовс 10 апликације

Идите до а .јс датотека. Ако не знате где или како, унесите * .јс у траку за претрагу Виндовс Екплорера. Ваш прозор би требало да се попуни фајловима сличним овом:

Десном типком миша кликните датотеку и изаберите Својства. Тренутно се наша ЈаваСцрипт датотека отвара са Мицрософт Виндовс Сцрипт Хост-ом. Помичите се према доље док не пронађете Нотепад и притисните ок.

Дупла провера

Мицрософт Оутлоок не дозвољава вам да примате датотеке одређеног типа. Ово укључује и .еке и .јс и спречава вас да ненамјерно унесете малваре на свој рачунар. Међутим, то не значи да не могу и неће клизнути кроз оба друга начина. Постоје три крајње једноставна начина на које се ракомерни софтвер може препакивати:

  • Коришћење компресије датотеке: злонамерни код се може архивирати и шаље се са различитим датотечним наставком који не покреће Оутлоок-ово интегрисано блокирање прилога.
  • Преименујте датотеку: често сусрећемо злонамерни код прерушен у другу врсту датотеке. Како већина света користи неки облик уредског пакета, формати докумената су изузетно популарни.
  • Коришћење дељеног сервера: ова опција је мало мање вероватна, али ако се угрози злонамерна пошта може се послати са приватног ФТП-а или са сигурног СхареПоинт сервера. Будући да би сервер био на белој листи у Оутлооку, прилог се не би сматрао злонамерним.

Погледајте овде комплетну листу од којих се проширења Оутлоок подразумевано блокирају.

Стална будност

Нећу да лажем. Постоји свеприсутна претња од злонамјерног софтвера када сте на мрежи - али не морате да подлегнете притиску. Размотрите веб локације које посећујете, налоге на које се пријављујете и е-поруке које добијате. Иако знамо да је антивирусном софтверу тешко одржати корак са заслепљујућим низом злонамјерног софтвера Избрисане верзије, преузимање и ажурирање антивирусног пакета требало би да апсолутно чине део вашег система одбрана.

Да ли вас је погодио рансомваре? Јесте ли добили датотеке? Који је откупни софтвер био? Јавите нам шта вам се догодило!

Имаге Цредитс: Карта заразе Нецрус ботнет путем малваретецх.цом, Бартов интерфејс за дешифровање и тренутне инфекције по државама путем пхисхме.цом

Гавин је старији писац за МУО. Такође је уредник и СЕО менаџер за сестрино крипто фокусирано седиште МакеУсеОф, Блоцкс Децодед. Има БА (Хонс) савремено писање с дигиталним уметничким праксама које су провалиле из Девонских брда, као и више од деценије професионалног искуства у писању. Ужива у великим количинама чаја.