JS/TrojanDownloader.Nemucod : Ransomware

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 114084
Inscription : 10 sept. 2005 13:57

JS/TrojanDownloader.Nemucod : Ransomware

par Malekal_morte »

JS/TrojanDownloader.Nemucod est le nom d'un Trojan JavaScript Downloader qui est utilisé depuis fin décembre de manière massive via des campagnes d'emails malicieux. L'éditeur ESET vient de publier une entée dans son blog : Trojan Downloaders on the rise: Don’t let Locky or TeslaCrypt ruin your day !

Image
Image

Ces e-mails conduisent au rançongiciel TeslaCrypt et Locky.

Si vous suivez régulièrement malekal.com, vous êtes déjà au courant à travers nos actualités : Répartition des campagnes.

* Décembre 2015 :

Image

* Plus récemment :
Image
Image

Les campagnes avec Nemucod du ransomware Locky sont très actives en France.
Comme en témoigne les chiffres de Fortinet, les entreprises françaises sont impactées.

Image

Image

Exemple d'une campagne Nemucod TeslaCrypt au 15 mars 2016

Image

Non mentionné par ESET, on notera des campagnes qui diffusent les trojans Kovter ( Malware FileLess ), trojans Boaxxe et un nouveau ransomware (.crypted) qui utilise aussi les WebExploit ( @malekal_morte )

Image

JS/TrojanDownloader.Nemucod, ransomware et antivirus gratuits

Le 9 décembre 2016, j'avais posté une démonstration de l'absence totale de protection contre TeslaCrypt avec Windows Defender. Aujourd'hui, j'ai pris soin de tester les antivirus gratuits contre ce Trojan.JS.Downloader ainsi que Locky.

Avast!, détecte la tentative d'infection en FileRepMalware

Image

Zéro pointé pour AVG qui passe complètement à côté.

Image

Mais au moment où le Locky manipule "vssadmin.exe" pour supprimer toutes les versions précédentes (Shadow Copies), AVG se réveil.

Image

Je soupçonne donc une règle générale contre ce type de traitements, régulièrement utilisés par les ransomwares.

AVG détecte la menace comme "IDP.Alexa" ( ce qui ne signifie rien d'intelligible )

Image

Antivir détecte correctement Locky en tant que "HEUR/APC (Cloud)". Une détection heuristique classique qui ne renseigne pas sur la nature de la menace. Par contre, sans rien manipuler, un second malware est téléchargé et installé Antivir se met à roupiller...

Image

Pour ne rien changer à ses habitudes Windows Defender reste complètement à la rue...

Image

Les fichiers sont chiffrés, Windows est ruiné, merci Windows Defender.

Image

Les antivirus gratuits détectent les Locky pas frais mais cela ne signifie pas que vous êtes protégé tout le temps contre ce type de malware. En début de campagne, les antivirus ne sont pas capables de protéger efficacement Windows. Aucun des antivirus n'a été en mesure de détecter ce fichu Trojan.JS.Nemucod qui est pourtant à la base de toute la chaîne de l'infection !

D'habitude, Microsoft ajoute des détections contre ces trojans JavaScript mais le problème c'est qu'il y a toujours une journée de retard par rapport aux vagues de pourriels suite aux campagnes. Dernière remarque, la détection VirusTotal d'un dropper fraichement péché. Comme vous pouvez le constater sur les résultats : 2/56 alors qu'en réalité, il y en a plus qui les détectent. Ceci s'explique par le fait que les moteurs de VirusTotal fonctionnent sous Linux et n'utilisent pas l'intégralité des technologies d'un antivirus installé.
SHA256: ece07a5ff2050fd86d2517b30e509902eafa0060ed8d43a5eef116d5ec176bf9
Nom du fichier : lKwWNiDJAj.exe
Ratio de détection : 2 / 56
Date d'analyse : 2016-03-18 12:05:44 UTC (il y a 2 minutes)

Antivirus Résultat Mise à jour
Qihoo-360 QVM07.1.Malware.Gen 20160318
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 [F] 20160318
On notera que pour Antivir et Avast! (peut-être AVG), c'est essentiellement via le cloud que sont alimentées les définitions virales : on voit ici tout l'intérêt du partage dans les nuages. Windows Defender est à côté de ses pompes car il y a parfois plusieurs heures entre les détections et ajouts de nouvelles définitions.

Comment se protéger des JavaScript malicieux et des rançongiciels sous Windows

Vous devez désactiver Windows Script Host, comme cela est expliqué sur ces pages : Renforcer la sécurité : Comment sécuriser mon Windows

Pourquoi faut-il désactiver Windows Script Host :


lien internes:
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 114084
Inscription : 10 sept. 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

par Malekal_morte »

Note Avast! peut détecter certains des Trojan.JS.Downloader en JS:Agent-DTI [Trj]

Image

ou encore en JS:Locky :

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 114084
Inscription : 10 sept. 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

par Malekal_morte »

Microsoft a publié un bulletin concernant les codes malveillants en JavaScript qui sont véhiculés par courriers électroniques.
TrojanDownloader:JS/Swabfex
TrojanDownloader:JS/Nemucod
TrojanDownloader:JS/Locky
Sur la page, on trouve à peu près les mêmes conseils que nous donnons depuis un moment, même si sur le blog de Microsoft, c'est plutôt à destination des entreprises :
  • Filtrer les Macros Office
  • Faire attention sur quoi vous cliquez.
[*] Utiliser MARMITON qui permet de limiter les exécutions accidentelles de scripts.
[*] Utiliser éventuellement AppLocker

Microsoft conseille d'utiliser Windows Defender, ce que nous déconseillons.
Windows Defender étant encore bien trop faible.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 114084
Inscription : 10 sept. 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

par Malekal_morte »

Microsoft a publié une actualité sur son blog concernant Nemucod : Gamarue, Nemucod, and JavaScript

Les détections de Nemucod depuis le début de l'année 2016.
Nemucod_detections.jpg
Sans surprise, grosse explosion notamment via des campagnes de ransomwares.

La France représente environ 4% des pays touchés.
Nemucod_detections_pays.jpg
Microsoft s'est surtout intéressé à une campagne qui à poussé Gamarue.
Ce trojan stealer effectue des injections de processus systèmes et lancent une instance "svchost.exe"
Gamarue est assez ancien, notre fiche datant de 2012.
Gamarue_detection.jpg
La répartition par pays de la campagne Gamarue... L'Europe et les USA ne sont pas visés.
Gamarue_detection_pays.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 114084
Inscription : 10 sept. 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

par Malekal_morte »

Les SPAM malicieux JS/Nemucod continuent !

McAfee a fait une entrée sur son blog : Malware Mystery: JS/Nemucod Downloads Legitimate Installer.

Image

Image

Les courriels malicieux en français ont cessés, toujours beaucoup d'invoice.

Image

Image

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 114084
Inscription : 10 sept. 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

par Malekal_morte »

Locky fait son retour après + de 10 jours d'inactivité.

La dernière vague de Trojan.JS.Nemucod constitue un casse tête à analyser : https://malcat.moe/?p=53

Avant :
Locky_Nemucod.png
Après :
Locky_Nemucod_2.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 114084
Inscription : 10 sept. 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

par Malekal_morte »

Pendant que les campagnes du ransomware Locky/Zepto persistent... autre exemple d'email malicieux Trojan.JS.Nemucod : Email Malicieux « Candidature ANPE » (Nemucod / Cerber).

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 114084
Inscription : 10 sept. 2005 13:57

Re: JS/TrojanDownloader.Nemucod : Ransomware

par Malekal_morte »

Le blog Microsoft publie les nouvelles campagnes du Trojan.JS.Nemucod
https://blogs.technet.microsoft.com/mmp ... 3/nemucod/

Microsoft nous apprends que l'extension utilisée par ces campagnes est passé de .js à .wsf
Ce qui ne change absolument rien sur le fond mais fallait bien qu'ils s'occupent durant l'été.

Rien de vraiment nouveau, ces campagnes poussent les ransomwares :
- Ransom:Win32/Locky
- Ransom:Win32/Cerber

La France représente 2% des infections alors que précédemment elle était à 4%.
trojan_nemucod_attaque_jour.png
trojan_nemucod_pays.png
Rappels:
  • Filtrer les Macros Office
  • Faire attention sur quoi vous cliquez
[*] Utiliser MARMITON qui permet de limiter les exécutions accidentelles de scripts.
[*] Utiliser éventuellement AppLocker

Liens connexes (ѠOOT):
https://decrypter.emsisoft.com/nemucod
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »