Vi har tidligere i denne uge været ude med en opgradering af risikoen for Locke (også kendt som Locky) infektion. Locke er en modbydelig ransomware.
Den seneste måned er Locke/Locky, med stor sucess for bagmændene, blevet spredt via pakkede arkiver (zip/rar) i spammails, og med en .js (javascript) i arkivet. Når disse åbnes, af en uforsigtig modtager, aktiveres "wscript.exe", som kører koden, der så igangsætter nedhentning og kørsel af Locke/Locky.
Se et skærmdump af en klassisk Locke spammail herunder:
Men vidste du, at der er et simpelt modsvar på denne type angreb?
En løsning, som vil fungere for langt de fleste slutbrugere, vil være at erstatte eller fjerne associationen til .js filer via f.eks. "HKEY_CLASSES_ROOT.js" og værdien "JSFile" (se skærmdump) hvor vi med Windows værktøjet "regedit" har navigeret til Windows håndtering af .js filer: 
Ved kørsel af en ondsindet .js fil, vil dette forhindre koden i at afvikles, idet tilknytningen er fjernet. Se eksempel herunder:
Det vil imidlertid ikke forhindre javascript i at køre via browseren, da Locke/Locky og Dridex spredes via e-mail (og som .js), og dermed åbnes udenfor browseren, hvorved dette er et effektivt workaround uden den store risiko for funktionstab i Microsoft Windows.
En anden tilgang kan være at knytte .js filer til notepad, hvorved disse vil blive åbnet i Notepad og dermed aldrig eksekveret:
HKEY_CLASSES_ROOTVisualStudio.js.10.0shellOpenCommand
Som sagt vil dette workaround fungere for langt de fleste slutbrugere og have effekt på al potentiel malware som forsøges droppet via .js filer.
Hvis man i f.eks. virksomhedsmiljøer har behov for at køre .js filer på desktops, kan man overveje at håndtere dem som f.eks. .jsx og så knytte "JSFile" til denne filendelse, hvilket vil give samme resultat, men stadig forhindre .js fra at blive eksekveret. Og det er jo præcist hvad vi vil opnå her.
Sund fornuft og naturlig skepsis og en lille smule antivirus!
Det bedste råd er nu fortsat sund fornuft og naturlig skepsis, men med de mange infektioner, som vi for øjeblikket ser, kan et workaround af denne type, være en, om ikke andet, midlertidig løsning.
Heimdal PRO/Corporate og CSIS Secure DNS
Som en anden forholdsregel kan vi oplyse, at vi dagligt blokerer for i gennemsnit 50 domæner der anvendes til at hente Locke/Locky ned fra. Det betyder med andre ord, at Heimdal PRO/corporate, eller CSIS Secure DNS også kan bidrage til at beskytte din PC eller din virksomhed mod denne type angreb. Og ikke kun fra Locke/Locky, men fra alle andre kendte trusler der anvender domæner til at hente malware eller binde maskinen ind i et BOTnet. På den måde kan vi ikke alene beskytte mod infektioner, men også mod risikoen for datalækage.
Mere information om Heimdal kan findes på:
https://heimdalsecurity.com
↧
CSIS Nyheder: Sådan undgår du Locke ransomware
↧