Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Segu-Info » infosec , malware , ransomware » Cómo evitar infectarse con archivos JS adjuntos y ransomware Buscar
Desde hace un par de semanas el malware conocido como JS/Nemucod o JS/Locky se ha popularizado a través de campaña de
spam que propaga archivos comprimidos ZIP y RAR con archivos JS (Javascript). Este JS posteriormente descarga y ejecuta un
troyano que suele ser un ransomware, variantes de Locky, TeslaCrypt, Rowti, Fareit, Ursnif o cualquier otro de moda.
D ON AME ALG
Nota: si te estas preguntando ¿por qué abriría un adjunto que no solicité? o ¿por qué abriría un ZIP/RAR recibido por correo? o
¿por qué haría clic sobre un archivo VBS/JS? Este post no es para tí.
En la siguiente imagen se puede ver el archivo RAR adjunto y el achivo JS ofuscado, para dificultar su análisis:
Lo más leído In
¿Qué es CyberSecurity
(CSMA) y por qué es e
Los repositorios de Do
contenedores malicioso
El archivo JS desofuscado finalmente se conecta a un servidor remoto y descarga el archivo EXE del troyano. Luego, lo ejecuta Bluecoat Proxy
https://blog.segu-info.com.ar/2016/03/como-evitar-infectarse-con-archivos-js.html 1/4
20/12/22, 20:12 Cómo evitar infectarse con archivos JS adjuntos y ransomware ~ Segu-Info - Ciberseguridad desde 2000
La pregunta es, ¿qué sucede al hacer doble clic sobre el archivo JS? ¿Se puede evitar? Abuso de SQL basado
para saltear WAF
Al hacer doble clic sobre un archivo VBS/JS, Windows por defecto ejecuta la aplicación Windows Based Script Host (WSH).
SHA-1 ha muerto (NIS
#ChatGPT, Chatbot de
programadores?
Introducción a MITRE A
actualidad actualiz
anonimato antivirus
Como el nombre de la aplicación no dice nada, es necesario saber que se trata del c:\windows\system32\wscript.exe. Para evitar backup base de da
que este archivo se ejecute, y por lo tanto tampoco se ejecute el JS descargado, basta con cambiar la aplicación por defecto y, biohacking biometría
buscadores byod
por ejemplo hacer que el responsable de abrir los archivos Javascript y Visualscript sea el bloc de notas (notepad.exe)
certificación ciber
ciberguerra cissp
Además y como un punto adicional también se puede evitar que se ejecuten wscript.exe y cscript.exe (su hermano de línea de concientización con
comandos). Para ello, simplemente hay que eliminar el permiso de ejecución de dichos archivos. correo costos
criptomoneda cuán
personales deep
Ante todo, se debe cambiar el dueño de dichos archivos ya que el dueño por defecto es "TrustedInstaller". El nuevo dueño debe derechos dni elect
ser el usuario actual (el que se encuentra logueado) o un administrador local. Una vez cambiado el dueño, simplemente se debe educación em
espionaje estadístic
eliminar el permiso de "Ejecución" y dejar sólo el permiso de "Lectura".
eventos exclusiv
fraude fuga inform
gobierno guías
herramientas
Industrial infografía
infraestructuras c
internet IoT iso itil le
MacOS malware
militar mitos móvil na
opinión osint p2p
pedofilia penetra
piratería polí
privacidad p
propiedad intelectual
redes sociales
rootkit rumor sap sca
física segurida
operativo SO Móv
libre spam tarjet
usabilidad videos
La siguiente alternativa (más prolija) es desactivar WSH a través de la siguiente clave de registro: electrónico vulnera
En el caso de trabajar en una organización con Active Directory (AD), este bloqueo se puede aplicar directamente sobre el
dominio, a todos los usuarios del mismo y a través de una política de grupo. Se puede utilizar el Editor de Directivas Local para
crear la restricción sobre los archivos ejecutables de WSH.
https://blog.segu-info.com.ar/2016/03/como-evitar-infectarse-con-archivos-js.html 2/4
20/12/22, 20:12 Cómo evitar infectarse con archivos JS adjuntos y ransomware ~ Segu-Info - Ciberseguridad desde 2000
Es decir que en este caso el administrador del AD puede decidir bloquear los scripts de modo que, si un usuario "desorientado"
hace doble clic sobre un VBS/JS, no se ejecuten y reciban la alerta correspondiente.
Nota final: por las dudas y por si todo lo anterior falla, puedes utilizar estas herramientas, o seguir estos consejos y, en el Día
Mundial del Backup, procede a realizar una copia de seguridad de tus archivos.
Actualización 01/04: han aparecido nuevas variantes que prácticamente no son detectadas por los antivirus.
Correo electrónico
SUSCRIBIRME
5 comentarios:
https://blog.segu-info.com.ar/2016/03/como-evitar-infectarse-con-archivos-js.html 3/4
20/12/22, 20:12 Cómo evitar infectarse con archivos JS adjuntos y ransomware ~ Segu-Info - Ciberseguridad desde 2000
Anónimo 1 de abril de 2016, 11:25
No necesariamente tiene que ser descargado del mail y abierto con doble clic. Basta con que un equipo haya sido infectado y el resto se propaga
via usb (con pendrives). Hay un script llamado dextroyer (dextroyer.com) muy efectiva que elimina la mayoría y se actualiza regularmente
Responder
Escribir comentario
Sobre Segu-Info...
Segu-Info es un emprendimiento personal de Lic. Cristian Borghello CISSP - CCSK - CSFPC que brinda información sobre Seguridad de la Información desde
el año 2000. Segu-Info es la Comunidad de Seguridad de la Información más grande de habla hispana. Cristian Borghello no se hace responsable del
contenido o comentarios de terceros.
Copyright © 2022 Segu-Info - Ciberseguridad desde 2000 | Lic. Cristian Borghello CISSP - CCSK - CSFPC
https://blog.segu-info.com.ar/2016/03/como-evitar-infectarse-con-archivos-js.html 4/4