31 mar. 2016

Cómo evitar infectarse con archivos JS adjuntos y ransomware

Desde hace un par de semanas el malware conocido como JS/Nemucod o JS/Locky se ha popularizado a través de campaña de spam que propaga archivos comprimidos ZIP y RAR con archivos JS (Javascript). Este JS posteriormente descarga y ejecuta un troyano que suele ser un ransomware, variantes de Locky, TeslaCrypt, Rowti, Fareit, Ursnif o cualquier otro de moda.

Nota: si te estas preguntando ¿por qué abriría un adjunto que no solicité? o ¿por qué abriría un ZIP/RAR recibido por correo? o ¿por qué haría clic sobre un archivo VBS/JS? Este post no es para tí.

En la siguiente imagen se puede ver el archivo RAR adjunto y el achivo JS ofuscado, para dificultar su análisis:
Como puede verse, el usuario debe descomprimir el ZIP/RAR y ejecutar el archivo JS para que este descargue y ejecute el malware.
Más allá del motivo inexplicable de porque un usuario haría tal cosa, lo cierto es que el éxito de Nemucod/Locky queda en evidencia al analizar el crecimiento de la cantidad de infecciones con ransomware, sobre todo de distintas versiones de Locky y Tesla.

El archivo JS desofuscado finalmente se conecta a un servidor remoto y descarga el archivo EXE del troyano. Luego, lo ejecuta automáticamente y este comienza el cifrado de todos los documentos del usuario.

En este caso los dominios desde donde se descarga el EXE pueden ser http://sspor[ELIMINADO].ir o http://griyabus[ELIMINADO].tk/76g8h8y7. El archivo JS es detectado por varios antivirus, al igual que el ejecutable (60% aproximadamente).
Pero, llegada esta instancia, si que el archivo JS es ejecutado haciendo doble clic, pocas son las medidas de seguridad que pueden funcionar para protegerlo.

La pregunta es, ¿qué sucede al hacer doble clic sobre el archivo JS? ¿Se puede evitar?
Al hacer doble clic sobre un archivo VBS/JS, Windows por defecto ejecuta la aplicación Windows Based Script Host (WSH).
Como el nombre de la aplicación no dice nada, es necesario saber que se trata del c:\windows\system32\wscript.exe. Para evitar que este archivo se ejecute, y por lo tanto tampoco se ejecute el JS descargado, basta con cambiar la aplicación por defecto y, por ejemplo hacer que el responsable de abrir los archivos Javascript y Visualscript sea el bloc de notas (notepad.exe)

Además y como un punto adicional también se puede evitar que se ejecuten wscript.exe y cscript.exe (su hermano de línea de comandos). Para ello, simplemente hay que eliminar el permiso de ejecución de dichos archivos.

Ante todo, se debe cambiar el dueño de dichos archivos ya que el dueño por defecto es "TrustedInstaller". El nuevo dueño debe ser el usuario actual (el que se encuentra logueado) o un administrador local. Una vez cambiado el dueño, simplemente se debe eliminar el permiso de "Ejecución" y dejar sólo el permiso de "Lectura".

La siguiente alternativa (más prolija) es desactivar WSH a través de la siguiente clave de registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings - Enabled = 0
El mismo efecto se puede lograr a través de Software Restriction Policies de Windows.
Ya sea que se hayan quitado los permisos al archivo ejecutable o se haya deshabilitado WSH a través del registro, al intentar abrir un VBS/JS, el resultado será el siguiente:
En el caso de trabajar en una organización con Active Directory (AD), este bloqueo se puede aplicar directamente sobre el dominio, a todos los usuarios del mismo y a través de una política de grupo. Se puede utilizar el Editor de Directivas Local para crear la restricción sobre los archivos ejecutables de WSH.

Es decir que en este caso el administrador del AD puede decidir bloquear los scripts de modo que, si un usuario "desorientado" hace doble clic sobre un VBS/JS, no se ejecuten y reciban la alerta correspondiente.

Nota final: por las dudas y por si todo lo anterior falla, puedes utilizar estas herramientas, o seguir estos consejos y, en el Día Mundial del Backup, procede a realizar una copia de seguridad de tus archivos.

Actualización 01/04: han aparecido nuevas variantes que prácticamente no son detectadas por los antivirus.

Cristian de la Redacción de Segu-Info

5 comentarios:

  1. Excelente Cristian, me re sirve para impedir que otros usuarios se manden la misma macana que ya se mandó un par... Abrazo!

    ResponderEliminar
  2. Muy util la informacion, me sirve de mucho. Gracias

    ResponderEliminar
  3. Anónimo1/4/16 11:25

    No necesariamente tiene que ser descargado del mail y abierto con doble clic. Basta con que un equipo haya sido infectado y el resto se propaga via usb (con pendrives). Hay un script llamado dextroyer (dextroyer.com) muy efectiva que elimina la mayoría y se actualiza regularmente

    ResponderEliminar
  4. Si bien es cierto lo que dices, los métodos de propagación actual de los ransomware no incluyen los USB y menos cuando se trata de un VBS/JS o DOC con macro. Podrían hacerlo, pero no sucede actualmente.
    El metodo con USB cayo en desuso porque los versiones actuales de Win bloquean los autorun de forma automatica.

    ResponderEliminar
  5. Excelente información, gracias por publicarla. Saludos desde Chile

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!