JS/TrojanDownloader.Nemucod : Ransomware

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.

JS/TrojanDownloader.Nemucod : Ransomware

Messagepar Malekal_morte » 18 Mar 2016 14:39

JS/TrojanDownloader.Nemucod est le nom d'un Trojan JavaScript Downloader qui est utilisé depuis fin décembre de manière massive via des campagnes d'emails malicieux. L'éditeur ESET vient de publier une entée dans son blog : Trojan Downloaders on the rise: Don’t let Locky or TeslaCrypt ruin your day !

Image
Image

Ces e-mails conduisent au rançongiciel TeslaCrypt et Locky.

Si vous suivez régulièrement malekal.com, vous êtes déjà au courant à travers nos actualités :

Répartition des campagnes.

* Décembre 2015 :

Image

* Plus récemment :
Image
Image

Les campagnes avec Nemucod du ransomware Locky sont très actives en France.
Comme en témoigne les chiffres de Fortinet, les entreprises françaises sont impactées.

Image

Image

Exemple d'une campagne Nemucod TeslaCrypt au 15 mars 2016

Image

Non mentionné par ESET, on notera des campagnes qui diffusent les trojans Kovter ( Malware FileLess ), trojans Boaxxe et un nouveau ransomware (.crypted) qui utilise aussi les WebExploit ( @malekal_morte )

Image

JS/TrojanDownloader.Nemucod, ransomware et antivirus gratuits

Le 9 décembre 2016, j'avais posté une démonstration de l'absence totale de protection contre TeslaCrypt avec Windows Defender. Aujourd'hui, j'ai pris soin de tester les antivirus gratuits contre ce Trojan.JS.Downloader ainsi que Locky.

Avast!, détecte la tentative d'infection en FileRepMalware

Image

Zéro pointé pour AVG qui passe complètement à côté.

Image

Mais au moment où le Locky manipule "vssadmin.exe" pour supprimer toutes les versions précédentes (Shadow Copies), AVG se réveil.

Image

Je soupçonne donc une règle générale contre ce type de traitements, régulièrement utilisés par les ransomwares.

AVG détecte la menace comme "IDP.Alexa" ( ce qui ne signifie rien d'intelligible )

Image

Antivir détecte correctement Locky en tant que "HEUR/APC (Cloud)". Une détection heuristique classique qui ne renseigne pas sur la nature de la menace. Par contre, sans rien manipuler, un second malware est téléchargé et installé Antivir se met à roupiller...

Image

Pour ne rien changer à ses habitudes Windows Defender reste complètement à la rue...

Image

Les fichiers sont chiffrés, Windows est ruiné, merci Windows Defender.

Image

Les antivirus gratuits détectent les Locky pas frais mais cela ne signifie pas que vous êtes protégé tout le temps contre ce type de malware. En début de campagne, les antivirus ne sont pas capables de protéger efficacement Windows. Aucun des antivirus n'a été en mesure de détecter ce fichu Trojan.JS.Nemucod qui est pourtant à la base de toute la chaîne de l'infection !

D'habitude, Microsoft ajoute des détections contre ces trojans JavaScript mais le problème c'est qu'il y a toujours une journée de retard par rapport aux vagues de pourriels suite aux campagnes. Dernière remarque, la détection VirusTotal d'un dropper fraichement péché. Comme vous pouvez le constater sur les résultats : 2/56 alors qu'en réalité, il y en a plus qui les détectent. Ceci s'explique par le fait que les moteurs de VirusTotal fonctionnent sous Linux et n'utilisent pas l'intégralité des technologies d'un antivirus installé.

SHA256: ece07a5ff2050fd86d2517b30e509902eafa0060ed8d43a5eef116d5ec176bf9
Nom du fichier : lKwWNiDJAj.exe
Ratio de détection : 2 / 56
Date d'analyse : 2016-03-18 12:05:44 UTC (il y a 2 minutes)

Antivirus Résultat Mise à jour
Qihoo-360 QVM07.1.Malware.Gen 20160318
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 [F] 20160318


On notera que pour Antivir et Avast! (peut-être AVG), c'est essentiellement via le cloud que sont alimentées les définitions virales : on voit ici tout l'intérêt du partage dans les nuages. Windows Defender est à côté de ses pompes car il y a parfois plusieurs heures entre les détections et ajouts de nouvelles définitions.

Comment se protéger des JavaScript malicieux et des rançongiciels sous Windows

Vous devez désactiver Windows Script Host, comme cela est expliqué sur ces pages :

Renforcer la sécurité : Comment sécuriser mon Windows

Pourquoi faut-il désactiver Windows Script Host :


lien internes:
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82852
Enregistré le: 10 Sep 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

Messagepar Malekal_morte » 20 Mar 2016 15:38

Note Avast! peut détecter certains des Trojan.JS.Downloader en JS:Agent-DTI [Trj]

Image

ou encore en JS:Locky :

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82852
Enregistré le: 10 Sep 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

Messagepar Malekal_morte » 20 Avr 2016 10:08

Microsoft a publié un bulletin concernant les codes malveillants en JavaScript qui sont véhiculés par courriers électroniques.

TrojanDownloader:JS/Swabfex
TrojanDownloader:JS/Nemucod
TrojanDownloader:JS/Locky

Sur la page, on trouve à peu près les mêmes conseils que nous donnons depuis un moment, même si sur le blog de Microsoft, c'est plutôt à destination des entreprises :
  • Filtrer les Macros Office
  • Faire attention sur quoi vous cliquez.
[*] Utiliser MARMITON qui permet de limiter les exécutions accidentelles de scripts.
[*] Utiliser éventuellement AppLocker

Microsoft conseille d'utiliser Windows Defender, ce que nous déconseillons.
Windows Defender étant encore bien trop faible.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82852
Enregistré le: 10 Sep 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

Messagepar Malekal_morte » 10 Mai 2016 10:42

Microsoft a publié une actualité sur son blog concernant Nemucod : Gamarue, Nemucod, and JavaScript

Les détections de Nemucod depuis le début de l'année 2016.

Nemucod_detections.jpg
Nemucod détections


Sans surprise, grosse explosion notamment via des campagnes de ransomwares.

La France représente environ 4% des pays touchés.

Nemucod_detections_pays.jpg
Nemucod par pays


Microsoft s'est surtout intéressé à une campagne qui à poussé Gamarue.
Ce trojan stealer effectue des injections de processus systèmes et lancent une instance "svchost.exe"
Gamarue est assez ancien, notre fiche datant de 2012.

Gamarue_detection.jpg
Gamarue détections


La répartition par pays de la campagne Gamarue... L'Europe et les USA ne sont pas visés.

Gamarue_detection_pays.jpg
Gamarue détections par pays
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82852
Enregistré le: 10 Sep 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

Messagepar Malekal_morte » 24 Mai 2016 20:08

Les SPAM malicieux JS/Nemucod continuent !

McAfee a fait une entrée sur son blog : Malware Mystery: JS/Nemucod Downloads Legitimate Installer.

Image

Image

Les courriels malicieux en français ont cessés, toujours beaucoup d'invoice.

Image

Image

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82852
Enregistré le: 10 Sep 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

Messagepar Malekal_morte » 22 Juin 2016 09:08

Locky fait son retour après + de 10 jours d'inactivité.

La dernière vague de Trojan.JS.Nemucod constitue un casse tête à analyser : https://malcat.moe/?p=53

Avant :
Locky_Nemucod.png
JS/TrojanDownloader.Nemucod

Après :
Locky_Nemucod_2.png
JS/TrojanDownloader.Nemucod
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82852
Enregistré le: 10 Sep 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

Messagepar Malekal_morte » 21 Juil 2016 15:02

Pendant que les campagnes du ransomware Locky/Zepto persistent... autre exemple d'email malicieux Trojan.JS.Nemucod : Email Malicieux « Candidature ANPE » (Nemucod / Cerber).

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82852
Enregistré le: 10 Sep 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

Messagepar Malekal_morte » 27 Juil 2016 10:13

Le blog Microsoft publie les nouvelles campagnes du Trojan.JS.Nemucod
https://blogs.technet.microsoft.com/mmpc/2016/07/23/nemucod/

Microsoft nous apprends que l'extension utilisée par ces campagnes est passé de .js à .wsf
Ce qui ne change absolument rien sur le fond mais fallait bien qu'ils s'occupent durant l'été.

Rien de vraiment nouveau, ces campagnes poussent les ransomwares :
- Ransom:Win32/Locky
- Ransom:Win32/Cerber

La France représente 2% des infections alors que précédemment elle était à 4%.

trojan_nemucod_attaque_jour.png
Trojan.Nemucod - statistiques par jour


trojan_nemucod_pays.png
Trojan.Nemucod : statistiques par pays


Rappels:
  • Filtrer les Macros Office
  • Faire attention sur quoi vous cliquez
[*] Utiliser MARMITON qui permet de limiter les exécutions accidentelles de scripts.
[*] Utiliser éventuellement AppLocker

Liens connexes (ѠOOT):
https://decrypter.emsisoft.com/nemucod
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82852
Enregistré le: 10 Sep 2005 13:57


Si vous trouvez le contenu de cette page pertinente, faites +1 :

Retourner vers Actualité & News Informatique

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité

Optimizer Windows
Partenaires du site : supprimer-virus.com - stopvirus.fr - www.malekal.com - stoppublicites.fr - Geekeden