Derfor er Javascript populært til ransomware - og sådan sikrer du dig

Det seneste skud på ransomware-stammen er skrevet udelukkende i Javascript og udnytter, at Windows som standard vil køre scripts uden browserens sikkerhedsforanstaltninger.

Javascript er i løbet af det sidste halve år blevet det foretrukne våben for de nye familier af ransomware. Tidligere var det makrovirus, der udnyttede de omfattende rettigheder makroer i Microsoft Office kan få, hvis man giver dem lov. Men Javascript i Windows er ikke begrænset til browseren, og det kan udnyttes.

Det seneste eksempel er RAA, der er skrevet fuldstændig i Javascript og ikke blot bruger sproget til at afvikle et første trin, der downloader og installerer den egentlige malware.

Det kan lade sig gøre, fordi der som standard er meget få sikkerhedsforanstaltninger omkring afviklingen af Javascript på Windows, skriver Paul Ducklin fra sikkerhedsfirmaet Sophos i et blogindlæg.

Læs også: Ny type JavaScriptbaseret ransomware opdaget

Angrebet bygges op via social engineering, som typisk foregår via en e-mail, der er tilpasset modtageren og skal få modtageren til at åbne en vedhæftet fil. Det kan eksempelvis være en mail, der foregiver at indeholde en vigtig faktura eller endda en hastebesked fra en anden medarbejder i samme firma.

Den vedhæftede fil vil som regel have et navn, der lyder plausibelt, men ransomware-bagmændene udnytter, at Windows som udgangspunkt ikke viser filendelser. Det er altså muligt at navngive en fil faktura.pdf.js, som så kun vil blive vist som faktura.pdf over for brugeren. Filendelsen .js, der indikerer, at der er tale om et Javascript, er altså skjult.

Læs også: Ny ransomware på markedet: Benytter javascript og tilbydes som brugervenlig tjeneste til kriminelle

En måde at hjælpe brugerne til at undgå at falde i fælden kan altså være at sætte en gruppepolitik op, der gør filendelser synlige. Det kan dog medføre indvendinger fra brugerne, da filendelserne så også vil blive synlige i de dialogbokse, hvor de gemmer og åbner filer.

Mens batch-filer med filendelsen .bat eller .cmd bliver vist med et 'gearkasseikon', så bliver filer med endelsen .js vist med et 'skriftrulleikon'. Selvom det ikke ligner ikonet for de mest almindelige PDF-læsere eller dokumentformater, så minder det dog mere om et dokument end om et eksekverbart program.

Som standard er Windows sat op med en filassociation på .js-filer, som vil åbne dem med Windows Based Script Host. Hvis man afvikler et Javascript med Script Host, så vil koden blive afviklet som ethvert andet program. Selvom det er Javascript, så afvikles det altså ikke med de begrænsninger og sikkerhedsforanstaltninger, der er lagt omkring Javascript i browseren.

Læs også: Sophos: Ransomware er hoppet fra Word-dokumenter til JavaScript-filer

Ifølge sikkerhedsorganisationen SANS er det derfor en god idé at forhindre disse scripts i at blive afviklet. Udover at gøre filendelsen synlig for brugerne, så kan man også associere .js-filer med eksempelvis Notesblok gennem en gruppepolitik. Se linket til blogindlægget hos SANS for eksempler på, hvordan gruppepolitikken kan sættes op.

Med den nye filassociation vil en Javascript-fil blive åbnet i teksteditoren, hvorfra koden ikke umiddelbart kan gøre skade.

Ved samme lejlighed kan man overveje at gøre noget tilsvarende for en række af de øvrige typer af scripts, som Windows afvikler på samme måde, men er baseret på eksempelvis Visual Basic.

Det er også en god idé at sætte et filter op på mailserveren, som filtrerer disse scriptfiler fra, inden de når brugerne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Carsten Olsen

Men Javascript i Windows er ikke begrænset til browseren, og det kan udnyttes.

JavaScript er ikke på nogen måde usikkert i browseren!. (hvis du vælger en sikker browser) Jeg har ihvertfald ikke set nogen eksempler på det.

Hvis det er usikkert uden for browseren er det kun på sårbare OSer som Microsoft Windows. (Windows 10 er meget mere sikkert end Windos XP, hvem ved.... måske er Windows 10 et meget sikkert OS om 3 år. Microsoft har ihvertfald prøvet (seriøst) at stramme op på sikkerheden de sidste 2 år)

Det kan lade sig gøre, fordi der som standard er meget få sikkerhedsforanstaltninger omkring afviklingen af Javascript på Windows, skriver Paul Ducklin

Lige mine ord.

  • 0
  • 6
Morten Hansen

Hvilken sikker browser? Lynx..?

Chrome: https://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-... Firefox: https://www.cvedetails.com/vulnerability-list/vendor_id-452/product_id-3... IE: https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-99...

Alle tre har seriøse sårbarheder som udnyttes af javascript. Der findes ingen sikker browser, der findes kun huller som ikke er opdaget endnu, og håbet er at det er en whitehat som finder den og ikke en blackhat.

  • 2
  • 0
Bent Jensen

Endnu en grund til ikke at hvidliste Version2, og bruge addbloker og andet.

Da man må formode, at jo mere kode man blokere, og dermed ikke afvikler, jo mere sikkert bør man være. Version2 har jo som alle andre, der "bare" sælger reklame ikke styr på hvad og fra hvem der vise reklame og afvikles kode. OG vil sikkert heller ikke dække udgifter hvis der er ondsindet kode i mellem.

Man kunne måske snakke om at godkende og hvidliste version2, så man slipper for deres hylereri over add bloker. Mod de tager ansvaret for alle de skader en evt mallware eller virus på deres hjemmeside forvolder. Samt tager ansvaret for at data og personlovgivningen i Danmark og EU også er overholdt, af alle de selskaber som har links og reklamme på hjemmesiden ?

Ellers må de undvære "kager".

  • 1
  • 2
Log ind eller Opret konto for at kommentere