Ransomware: JavaScript-Anhänge auf dem Vormarsch

evil.js.cat.facebookIhr alle kennt sicher JavaScript. Das ist eine Scriptsprache die im Browser dafür sorgt, dass Webseiten Interaktiv werden. Viele Elemente in Webseiten aber auch in Werbung werden mittlerweile in JavaScript geschrieben und eben nicht mehr in Flash. Im Browser ist das auch ok, denn der Browser ist so gerüstet das die Scripte auf eurem Computer keinen Schaden anrichten können.

Sophos schreibt allerdings über einen Weg über den JavaScript Eurem Rechner und damit Euren Dateien doch gefährlich werden können. Und dieser ist laut Sophos gerade auf dem Vormarsch. Jetzt wo wir alle gelernt haben, dass Macros in Dokumenten böse sind und E-Mail-Programme schon lange keine Scripte mehr direkt ausführen, hängen die Kriminellen die Dateien einfach als Anhang an Spam-Mails.

Beispiel-E-Mail von nakedsecurity.sophos.com

Beispiel-E-Mail von nakedsecurity.sophos.com

Dabei werden die Dateien in ein Zip-Archiv gepackt. Beim auspacken landet dann eine Datei wie ‘Rechnunge.pdf.js’ auf eurem Rechner. Da Windows von Hause aus allerdings keine Dateiendungen anzeigt ergibt sich folgendes Bild.

JS Datei im Explorer

.JS Datei im Windows Explorer

Die Datei sieht hier also vom Namen her aus, wie ein ganz normales PDF. Und auch das Icon verrät erst einmal nichts gefährliches, denn so sehen auch ganz normale Text-(nicht Word)-Dokumente aus. Ein nicht versierter Benutzer sieht also keine Gefahr darin, die Datei einfach zu öffnen. Mit einem Doppelklick geht dann aber keinesfalls ein Texteditor mit dem Inhalt der Datei auf. Die Dateiendung .js wird von Windows im Standard mit dem Windows Script Host ausgeführt. Programmcode der in JavaScript geschrieben ist, wird also damit ausgeführt. Und anders als im Browser hat der dadurch gestartete Prozess dann vollen Zugriff auf Euer System oder zumindest auf den Kontext des Benutzers, mit dem Ihr gerade angemeldet seid.

Ein gefundenes Fressen für Ransomware. Wie Sophos festgestellt hat, wird diese Methode nämlich genau dafür benutzt. Der Schädling baut Verbindungen zu mehreren Servern auf und lädt von dort eine Ransomware herunter und führt diese aus. Das ist der Teil, der Eure Dateien verschlüsselt. Anschließend wird eine Datei mit dem Namen ‘DECRYPT.TXT’ erstellt, in der die übliche Erpressung der Ransomware zu finden ist.

Attention!
All your documents, photos, databases
and other important personal files
were encryptes using strong RSA-1024
algorithm with a unique key.
To restore your files, pay X BTC (bitcoins).
Send X BTC to this Bitcoin address:
<address>
Open one of the following links in your
browser to download decryptor:
hxxp://url1.com/
hxxp://url2.com/
PLEASE REMEMBER:
- If you do not pay in 3 days YOU LOOSE ALL YOUR FILES.
- Nobody can help you except us.
- It's useless to reinstall Windows, update antivirus software, etc.

Unsere Tipps

Das beste Mittel gegen Verschlüsselungs-Viren sind Backups.

Bringt Windows bei die Dateiendung .js in einem Texteditor zu öffnen und nicht auszuführen.

  • Klickt mit der rechten Maustaste auf eine beliebige JavaScript-Datei und wählt ‘öffnen mit’ > ‘Andere App auswählen’.
'Öffnen mit' Dialog

‘Öffnen mit’ Dialog

  • Wählt in dem folgenden Dialog einen Texteditor aus und ganz wichtig: Setzt den Haken bei ‘Immer diese App zum Öffnen von .js-Dateien verwenden’ und klickt dann auf [OK].
Datei Ausführen mit.

Datei Ausführen mit.

Lasst euch von Windows die Dateiendungen im Explorer mit anzeigen.

Hierzu klickt Ihr im Explorer einfach auf ‘Ansicht’ und setzt dann den Haken bei Dateinamenerweiterungen.

Dateinamenerweiterungen einschalten.

Dateinamenerweiterungen einschalten.

 

Registry-Trick:

Weiterhin besteht laut heise.de die Javascript Datei bei der Ausführung zu hindert, in dem man den Windows Script Host deaktiviert. Dazu legt man in der Registry unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows  Script Host\Settings eine Zeichenfolge namens “Enabled” an und setzt deren Wert auf “0“. Sollte ein Programm der Windows Script Host nutzt nicht funktionieren, setzt man den Wert wieder auf “1“.

blindMaßnahmen die getroffen werden können, bevor Ransomware den Rechner infiziert.blind

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht aufintegrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden.

Unsere Empfehlungen zum Thema Javascript
Einsteiger
Schrödinger-lernt-HTML5-CSS3-und-JavaScript-1023576Einsteiger: Schrödinger lernt HTML5, CSS3 und JavaScript: Das etwas andere Fachbuch

Eine lustig und leicht erklärter Einstieg in die Webentwicklung.

Amazon Link

Fortgeschrittene

120142Fortgeschrittene: JavaScript – kurz & gut

Für alle die nicht gleich zum großen Werk greifen wollen. Ein Auszug aus JavaScript – Das umfassende Referenzwerk.

Amazon Link

Profis

51Ra6RH5JyL._SX258_BO1,204,203,200_Profis: JavaScript – Das umfassende Referenzwerk

Dieses Werk beschäftigt sich noch mit ECMAScript 5. Und bietet umfassende Erklärungen zum Thema.

Amazon Link

 

4 thoughts on “Ransomware: JavaScript-Anhänge auf dem Vormarsch”

    1. Hey,

      danke für den Tipp. Ich nehme Deinen Blog mal in meine RSS-Feeds mit auf.
      Generell spricht Sophos aber auch nicht davon, dass das neu ist, sondern dass es vermehrt auftritt.

      Viele Grüße,
      MSI | botfrei.de

Kommentare sind geschlossen.