Fillösa Ransomware

Säkerhet

29/03 2017

Som flera kanske redan hört så har det börjat komma en del fillösa ransomware.
Detta är en sanning med modifikation. Ransomware kommer fortfarande in med till exempel en bilaga i ett mail eller Exploit Kit via Click Fraud

Däremot körs exekvering av skriptet helt i minnet för att undvika spår, forensiska beivs och undkomma filskanning från antivirus och andra malware skydd.


http://www.securityweek.com/researchers-uncover-sophisticated-fileless-attack

 

http://www.securityweek.com/cerber-ransomware-tries-evade-machine-learning-security

Tipset är att stänga av exekverbara biler under Appdata / Temp (då ransomware ofta droppar filer som körs där) och köra vitlistning av körbara applikationer samt avvaktivera Windows Scripting Host (jag har gjort det på min egen maskin och det fungerar bra och begränsar mig inte). Utöver utvecklare är det få som behöver köra.
De flesta legitima program körs under Program och enstaka körs under användaren (t.ex. Spotify och TeamviewerQS samt installationsfiler).