image

Microsoft waarschuwt voor browser-ransomware

zaterdag 20 december 2014, 06:59 door Redactie, 7 reacties

Microsoft waarschuwt internetgebruikers voor een vorm van ransomware die de browser vergrendelt en slachtoffers laat geloven dat ze een misdrijf hebben begaan. In tegenstelling tot andere vormen van ransomware wordt er bij browser-ransomware geen malware op de computer geïnstalleerd.

Het gaat hier om kwaadaardige pagina's die meestal JavaScript gebruiken om de pagina te vergrendelen en te voorkomen dat die door gebruikers kan worden gesloten. Zo zorgt de gebruikte code ervoor dat toetsencombinaties zoals Alt+F4 of gewoon het sluiten van de browser niet meer werken. Sinds juli van dit jaar heeft Microsoft meer incidenten met browser-ransomware gezien.

Om gebruikers naar de kwaadaardige pagina met JavaScript te sturen worden onder andere advertenties op legitieme, onschuldige websites gebruikt. Eenmaal actief laat de ransomware weten dat het slachtoffer een misdrijf heeft begaan en een boete moet betalen. In het geval gebruikers browser-ransomware tegenkomen krijgen ze het advies van Microsoft om Taakbeheer te starten en het browserproces te sluiten.

Op zakelijke computers kan Taakbeheer niet toegankelijk voor gebruikers zijn en zal er met de IT-afdeling contact moeten worden opgenomen. Als de browser wordt herstart kan het zijn dat die vraagt om de vorige sessie te herstellen. Gebruikers moeten dit niet doen, omdat anders de pagina met browser-ransomware weer wordt geladen.

Image

Reacties (7)
20-12-2014, 08:45 door Erik van Straten - Bijgewerkt: 20-12-2014, 09:03
Google: close popup browser alt-F4

Het algemene advies om popups veilig te sluiten middels Alt-F4 is hiermee ten grave gedragen.

Web applicaties zijn RCE's (Remote Code Execution). Hoe meer rechten je ze geeft op je systeem, hoe gevaarlijker. De druk op browsermakers, om steeds meer concessies te doen, is enorm.

Nu kennelijk Alt-F4 kan worden afgevangen, whats next? Ctrl-Alt-Del? Volledige clipboard control? Direct file I/O? Wireshark, task manager en memtest als webapplicaties?

Nu (na vele jaren van waarschuwen) softwaremakers inzien dat Active-X en Java applets niet veilig te krijgen zijn, gaan we de -griezelige- mogelijkheden daarvan gewoon direct in browsers (Javascript) inbouwen?

Gaan webapp leveranciers, net als Microsoft destijds met digitaal ondertekende Active-X plugins, ons proberen wijs te maken dat een digitaal certificaat (deze keer van de website ipv de plugin) betekent dat de applicatie veilig is?
20-12-2014, 16:03 door mcb
Door Erik van Straten:Nu kennelijk Alt-F4 kan worden afgevangen, whats next? Ctrl-Alt-Del? Volledige clipboard control? Direct file I/O? Wireshark, task manager en memtest als webapplicaties?

Taskmanager kan al (sinds WinXP (of eerder)) worden uitgezet d.m.v. GPO:
User Configuration -> Policies -> Administrative Templates -> System -> Ctr+Alt+del Options

Applicaties afvangen via GPO:
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Software restriction Policies
Erg handig om ongewenste software zoals bijv remotecontroltools te blokkeren.
20-12-2014, 21:27 door Erik van Straten
20-12-2014, 16:03 door mcb:
20-12-2014, 08:45 door Erik van Straten: Nu kennelijk Alt-F4 kan worden afgevangen, whats next? Ctrl-Alt-Del? Volledige clipboard control? Direct file I/O? Wireshark, task manager en memtest als webapplicaties?

Taskmanager kan al (sinds WinXP (of eerder)) worden uitgezet d.m.v. GPO: [...]
Weet ik, maar dat is niet wat ik bedoel (bovendien: dat soort BOFH policies leiden niet tot meer veiligheid, maar wel tot gefrustreerde gebruikers).

Het gevaar is dat code in webapplicaties steeds meer mag op je PC. Natuurlijk is het handig als OWA (Outlook Web Access) dezelfde functionaliteit heeft als Outlook (de desktopversie). Om dat te kunnen realiseren moet (door de webbrowser -) gedownloade en uitgevoerde code vergaande bevoegdheden krijgen op de PC.

Het probleem is dat diezelfde webbrowser niet alleen code uitvoert afkomstig van een door jou vertrouwde Exchange server, maar, als je pech hebt, ook van gehackte sites. Dit wordt smullen voor Javascript malwaremakers.
20-12-2014, 21:39 door Anoniem
:-) = Firefox + NoScript = (-:
21-12-2014, 01:22 door Erik van Straten - Bijgewerkt: 21-12-2014, 13:20
Door Anoniem: :-) = Firefox + NoScript = (-:
Idd, zelf ben ik een fervent gebruiker, al was het maar voor het inzicht dat NoScript geeft van het aantal bloedzuigers, normaal gesproken buiten zicht, dat jouw identiteit proberen op te slurpen.

Maar mijn vader kan ik NoScript "niet aandoen". Het lukt mij niet aan doorsnee gebruikers uit te leggen dat je van zo min mogelijk sites Javascript moet toestaan, en dat je er een gevoel voor moet opbouwen welke sites bijdragen aan functionaliteit van de site, en welke slechts bloedzuigers zijn. Dat zou aan mij kunnen liggen, maar ik heb toch eerder het gevoel dat die doorsnee gebruikers een hekel hebben aan ongemakken en het risico (van onbekende grootte) dan maar voor lief nemen.

(edit 21-12-2014 13:20 tikfouten in 1e zin gefixt)
21-12-2014, 01:48 door Anoniem
geinig, politie browser hijacking Firefox mozilla 34, #ubuntu
ik weet niet meer van welke url,
heb ~/.cache/mozilla gewist en hopla
23-12-2014, 17:06 door Anoniem
Door Erik van Straten: Google: close popup browser alt-F4

Het algemene advies om popups veilig te sluiten middels Alt-F4 is hiermee ten grave gedragen.

Web applicaties zijn RCE's (Remote Code Execution). Hoe meer rechten je ze geeft op je systeem, hoe gevaarlijker. De druk op browsermakers, om steeds meer concessies te doen, is enorm.

Nu kennelijk Alt-F4 kan worden afgevangen, whats next? Ctrl-Alt-Del? Volledige clipboard control? Direct file I/O? Wireshark, task manager en memtest als webapplicaties?

Nu (na vele jaren van waarschuwen) softwaremakers inzien dat Active-X en Java applets niet veilig te krijgen zijn, gaan we de -griezelige- mogelijkheden daarvan gewoon direct in browsers (Javascript) inbouwen?

ook dit heb ik meegemaakt maar dan per telefoon Ze zeiden dat ze belde( engelse taal) microsoft.ze zeiden dat ik gehact zou zijn en een virus zou hebben en dat ik de PC aan moest zetten. Ik heb de hoorn opgelegd. Daarna dat nummer teruggebeld en dat bestond niet. Het telefoonnet is: 088269222211
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.