20/12/22, 20:12 Cómo evitar infectarse con archivos JS adjuntos y ransomware ~ Segu-Info - Ciberseguridad desde 2000

SEGU-INFO BOLETÍN FORO  ARTÍCULOS ENTRADAS RSS  EDUCACIÓN  SERVICIOS CONTACTO

Segu-Info » infosec , malware , ransomware » Cómo evitar infectarse con archivos JS adjuntos y ransomware Buscar

Cómo evitar infectarse con archivos JS adjuntos y ransomware Correo electrónico

 31 mar 2016, 08:37:00    5 comentarios

   infosec, malware, ransomware  

Desde hace un par de semanas el malware conocido como JS/Nemucod o JS/Locky se ha popularizado a través de campaña de
spam que propaga archivos comprimidos ZIP y RAR con archivos JS (Javascript). Este JS posteriormente descarga y ejecuta un
troyano que suele ser un ransomware, variantes de Locky, TeslaCrypt, Rowti, Fareit, Ursnif o cualquier otro de moda.

D ON AME ALG
Nota: si te estas preguntando ¿por qué abriría un adjunto que no solicité? o ¿por qué abriría un ZIP/RAR recibido por correo? o
¿por qué haría clic sobre un archivo VBS/JS? Este post no es para tí.

En la siguiente imagen se puede ver el archivo RAR adjunto y el achivo JS ofuscado, para dificultar su análisis:

1H 42zH uqo TWbcC j84

Lo más leído In

CISO Mindmap 2022. ¿

profesionales InfoSec?

Por esto debes utilizar

caracteres o más - 11/4

¿Qué es CyberSecurity
(CSMA) y por qué es e

CISO MindMap 2021: ¿

profesionales de InfoSe

Busca IPs de #Log4Sh

Los repositorios de Do
contenedores malicioso

Hive afectó 1.300 com

millones - 24/11/2022

Informe sobre Cybercr

Service - 21/11/2022

Re: [forosi:30785] ¿Có

Como puede verse, el usuario debe descomprimir el ZIP/RAR y ejecutar el archivo JS para que este descargue y ejecute el web service?

malware. Re: [forosi:30786] Cert

Más allá del motivo inexplicable de porque un usuario haría tal cosa, lo cierto es que el éxito de Nemucod/Locky queda Re: [forosi:30781] Com
en evidencia al analizar el crecimiento de la cantidad de infecciones con ransomware, sobre todo de distintas versiones protegido con Bitlocker

de Locky y Tesla. RE: [forosi:30773] Prop

interesados

El archivo JS desofuscado finalmente se conecta a un servidor remoto y descarga el archivo EXE del troyano. Luego, lo ejecuta Bluecoat Proxy

automáticamente y este comienza el cifrado de todos los documentos del usuario.

muchas gracias a la pe
En este caso los dominios desde donde se descarga el EXE pueden ser http://sspor[ELIMINADO].ir o o...
http://griyabus[ELIMINADO].tk/76g8h8y7. El archivo JS es detectado por varios antivirus, al igual que el ejecutable (60% tremendo!
aproximadamente). ¡ https://securityheader
Pero, llegada esta instancia, si que el archivo JS es ejecutado haciendo doble clic, pocas son las medidas de seguridad que
A mi, constantemente m
pueden funcionar para protegerlo. al ...

Quiero darme de baja e

correo ...
Blogger y Segu-Info utilizan cookies. OK

https://blog.segu-info.com.ar/2016/03/como-evitar-infectarse-con-archivos-js.html 1/4
20/12/22, 20:12 Cómo evitar infectarse con archivos JS adjuntos y ransomware ~ Segu-Info - Ciberseguridad desde 2000
La pregunta es, ¿qué sucede al hacer doble clic sobre el archivo JS? ¿Se puede evitar? Abuso de SQL basado
para saltear WAF
Al hacer doble clic sobre un archivo VBS/JS, Windows por defecto ejecuta la aplicación Windows Based Script Host (WSH).
SHA-1 ha muerto (NIS

"72% de las organizaci

vulnerables a Log4j" [T

#ChatGPT, Chatbot de
programadores?

Introducción a MITRE A

actualidad actualiz
anonimato antivirus
Como el nombre de la aplicación no dice nada, es necesario saber que se trata del c:\windows\system32\wscript.exe. Para evitar backup base de da
que este archivo se ejecute, y por lo tanto tampoco se ejecute el JS descargado, basta con cambiar la aplicación por defecto y, biohacking biometría
buscadores byod
por ejemplo hacer que el responsable de abrir los archivos Javascript y Visualscript sea el bloc de notas (notepad.exe)
certificación ciber
ciberguerra cissp
Además y como un punto adicional también se puede evitar que se ejecuten wscript.exe y cscript.exe (su hermano de línea de concientización con
comandos). Para ello, simplemente hay que eliminar el permiso de ejecución de dichos archivos. correo costos
criptomoneda cuán
personales deep
Ante todo, se debe cambiar el dueño de dichos archivos ya que el dueño por defecto es "TrustedInstaller". El nuevo dueño debe derechos dni elect
ser el usuario actual (el que se encuentra logueado) o un administrador local. Una vez cambiado el dueño, simplemente se debe educación em
espionaje estadístic
eliminar el permiso de "Ejecución" y dejar sólo el permiso de "Lectura".
eventos exclusiv
fraude fuga inform
gobierno guías
herramientas
Industrial infografía
infraestructuras c
internet IoT iso itil le
MacOS malware
militar mitos móvil na
opinión osint p2p
pedofilia penetra
piratería polí
privacidad p
propiedad intelectual
redes sociales
rootkit rumor sap sca
física segurida
operativo SO Móv
libre spam tarjet
usabilidad videos
La siguiente alternativa (más prolija) es desactivar WSH a través de la siguiente clave de registro: electrónico vulnera

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings - Enabled = 0

El mismo efecto se puede lograr a través de Software Restriction Policies de Windows.

Ya sea que se hayan quitado los permisos al archivo ejecutable o se haya deshabilitado WSH a través del registro, al intentar
abrir un VBS/JS, el resultado será el siguiente:

En el caso de trabajar en una organización con Active Directory (AD), este bloqueo se puede aplicar directamente sobre el
dominio, a todos los usuarios del mismo y a través de una política de grupo. Se puede utilizar el Editor de Directivas Local para
crear la restricción sobre los archivos ejecutables de WSH.

Blogger y Segu-Info utilizan cookies. OK

https://blog.segu-info.com.ar/2016/03/como-evitar-infectarse-con-archivos-js.html 2/4
20/12/22, 20:12 Cómo evitar infectarse con archivos JS adjuntos y ransomware ~ Segu-Info - Ciberseguridad desde 2000
Es decir que en este caso el administrador del AD puede decidir bloquear los scripts de modo que, si un usuario "desorientado"
hace doble clic sobre un VBS/JS, no se ejecuten y reciban la alerta correspondiente.

Nota final: por las dudas y por si todo lo anterior falla, puedes utilizar estas herramientas, o seguir estos consejos y, en el Día
Mundial del Backup, procede a realizar una copia de seguridad de tus archivos.

Actualización 01/04: han aparecido nuevas variantes que prácticamente no son detectadas por los antivirus.

Cristian de la Redacción de Segu-Info

SUSCRÍBETE A NUESTRO BOLETÍN

Correo electrónico

SUSCRIBIRME

← Entrada más reciente Página Principal Entrada antigua →

5 comentarios:

Herman 31 de marzo de 2016, 16:36

Excelente Cristian, me re sirve para impedir que otros usuarios se manden la misma macana que ya se mandó un par... Abrazo!
Responder

Unknown 1 de abril de 2016, 10:21

Muy util la informacion, me sirve de mucho. Gracias
Responder

Blogger y Segu-Info utilizan cookies. OK

https://blog.segu-info.com.ar/2016/03/como-evitar-infectarse-con-archivos-js.html 3/4
20/12/22, 20:12 Cómo evitar infectarse con archivos JS adjuntos y ransomware ~ Segu-Info - Ciberseguridad desde 2000
Anónimo 1 de abril de 2016, 11:25
No necesariamente tiene que ser descargado del mail y abierto con doble clic. Basta con que un equipo haya sido infectado y el resto se propaga
via usb (con pendrives). Hay un script llamado dextroyer (dextroyer.com) muy efectiva que elimina la mayoría y se actualiza regularmente
Responder

SeguInfo 1 de abril de 2016, 11:54

Si bien es cierto lo que dices, los métodos de propagación actual de los ransomware no incluyen los USB y menos cuando se trata de un VBS/JS o
DOC con macro. Podrían hacerlo, pero no sucede actualmente.
El metodo con USB cayo en desuso porque los versiones actuales de Win bloquean los autorun de forma automatica.
Responder

Unknown 4 de abril de 2016, 11:36

Excelente información, gracias por publicarla. Saludos desde Chile
Responder

Escribir comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!

Sobre Segu-Info...

Segu-Info es un emprendimiento personal de Lic. Cristian Borghello CISSP - CCSK - CSFPC que brinda información sobre Seguridad de la Información desde
el año 2000. Segu-Info es la Comunidad de Seguridad de la Información más grande de habla hispana. Cristian Borghello no se hace responsable del
contenido o comentarios de terceros.

Copyright © 2022 Segu-Info - Ciberseguridad desde 2000 | Lic. Cristian Borghello CISSP - CCSK - CSFPC

Blogger y Segu-Info utilizan cookies. OK

https://blog.segu-info.com.ar/2016/03/como-evitar-infectarse-con-archivos-js.html 4/4