Ihr alle kennt sicher JavaScript. Das ist eine Scriptsprache die im Browser dafür sorgt, dass Webseiten Interaktiv werden. Viele Elemente in Webseiten aber auch in Werbung werden mittlerweile in JavaScript geschrieben und eben nicht mehr in Flash. Im Browser ist das auch ok, denn der Browser ist so gerüstet das die Scripte auf eurem Computer keinen Schaden anrichten können.
Sophos schreibt allerdings über einen Weg über den JavaScript Eurem Rechner und damit Euren Dateien doch gefährlich werden können. Und dieser ist laut Sophos gerade auf dem Vormarsch. Jetzt wo wir alle gelernt haben, dass Macros in Dokumenten böse sind und E-Mail-Programme schon lange keine Scripte mehr direkt ausführen, hängen die Kriminellen die Dateien einfach als Anhang an Spam-Mails.
Die Datei sieht hier also vom Namen her aus, wie ein ganz normales PDF. Und auch das Icon verrät erst einmal nichts gefährliches, denn so sehen auch ganz normale Text-(nicht Word)-Dokumente aus. Ein nicht versierter Benutzer sieht also keine Gefahr darin, die Datei einfach zu öffnen. Mit einem Doppelklick geht dann aber keinesfalls ein Texteditor mit dem Inhalt der Datei auf. Die Dateiendung .js wird von Windows im Standard mit dem Windows Script Host ausgeführt. Programmcode der in JavaScript geschrieben ist, wird also damit ausgeführt. Und anders als im Browser hat der dadurch gestartete Prozess dann vollen Zugriff auf Euer System oder zumindest auf den Kontext des Benutzers, mit dem Ihr gerade angemeldet seid.
Ein gefundenes Fressen für Ransomware. Wie Sophos festgestellt hat, wird diese Methode nämlich genau dafür benutzt. Der Schädling baut Verbindungen zu mehreren Servern auf und lädt von dort eine Ransomware herunter und führt diese aus. Das ist der Teil, der Eure Dateien verschlüsselt. Anschließend wird eine Datei mit dem Namen ‘DECRYPT.TXT’ erstellt, in der die übliche Erpressung der Ransomware zu finden ist.
Attention! All your documents, photos, databases and other important personal files were encryptes using strong RSA-1024 algorithm with a unique key. To restore your files, pay X BTC (bitcoins). Send X BTC to this Bitcoin address: <address> Open one of the following links in your browser to download decryptor: hxxp://url1.com/ hxxp://url2.com/ PLEASE REMEMBER: - If you do not pay in 3 days YOU LOOSE ALL YOUR FILES. - Nobody can help you except us. - It's useless to reinstall Windows, update antivirus software, etc.
Unsere Tipps
Das beste Mittel gegen Verschlüsselungs-Viren sind Backups.
Bringt Windows bei die Dateiendung .js in einem Texteditor zu öffnen und nicht auszuführen.
- Klickt mit der rechten Maustaste auf eine beliebige JavaScript-Datei und wählt ‘öffnen mit’ > ‘Andere App auswählen’.
- Wählt in dem folgenden Dialog einen Texteditor aus und ganz wichtig: Setzt den Haken bei ‘Immer diese App zum Öffnen von .js-Dateien verwenden’ und klickt dann auf [OK].
Lasst euch von Windows die Dateiendungen im Explorer mit anzeigen.
Hierzu klickt Ihr im Explorer einfach auf ‘Ansicht’ und setzt dann den Haken bei Dateinamenerweiterungen.
Registry-Trick:
Weiterhin besteht laut heise.de die Javascript Datei bei der Ausführung zu hindert, in dem man den Windows Script Host deaktiviert. Dazu legt man in der Registry unter HKEY_LOCAL_MACHINESoftwareMicrosoftWindows Script HostSettings eine Zeichenfolge namens “Enabled” an und setzt deren Wert auf “0“. Sollte ein Programm der Windows Script Host nutzt nicht funktionieren, setzt man den Wert wieder auf “1“.
Maßnahmen die getroffen werden können, bevor Ransomware den Rechner infiziert.
- Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
- Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
- Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
- Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immer “up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
- Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht aufintegrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
- Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
- Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
- Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-Ransom, Emsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.
Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.
[su_box title=”Unsere Empfehlungen zum Thema Javascript” box_color=”#f1592a” radius=”0″] [su_accordion] [su_spoiler title=”Einsteiger” open=”yes”] Einsteiger: Schrödinger lernt HTML5, CSS3 und JavaScript: Das etwas andere FachbuchDarauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden.
Eine lustig und leicht erklärter Einstieg in die Webentwicklung.
Amazon Link
[/su_spoiler] [su_spoiler title=”Fortgeschrittene”] Fortgeschrittene: JavaScript – kurz & gut
Für alle die nicht gleich zum großen Werk greifen wollen. Ein Auszug aus JavaScript – Das umfassende Referenzwerk.
Amazon Link
[/su_spoiler] [su_spoiler title=”Profis”] Profis: JavaScript – Das umfassende Referenzwerk
Dieses Werk beschäftigt sich noch mit ECMAScript 5. Und bietet umfassende Erklärungen zum Thema.
Amazon Link
[/su_spoiler][/su_accordion][/su_box]