image

Symantec ziet toename van aanvallen via wsf-bestanden

maandag 17 oktober 2016, 10:36 door Redactie, 3 reacties

De afgelopen maanden is er een toename van het aantal aanvallen op Windowsgebruikers via wsf-bestanden geweest, zo claimt beveiligingsbedrijf Symantec. In juli van dit jaar waarschuwde Microsoft al voor dergelijke aanvallen. De aanval begint met een mail die als bijlage een zip-bestand heeft.

Binnen dit zip-bestand bevindt zich het wsf-bestand. Wsf staat voor Windows Script File en zoals de naam al doet vermoeden gaat het om een scriptbestand dat door de Windows Script Host (WSH) wordt uitgevoerd. Wsf-bestanden kunnen JavaScript en VBScript bevatten. Daarmee kan er malware op de computer worden gedownload, zoals ransomware.

Symantec zegt de afgelopen periode miljoenen e-mails te hebben geblokkeerd die internetgebruikers via wsf-bestanden met de Locky-ransomware probeerden te infecteren. Werden er in juni nog 22.000 e-mails met wsf-bestanden gestopt, in september was dit naar 2,2 miljoen spamberichten opgelopen. Naast het niet openen van ongevraagde e-mailbijlagen kunnen Windowsgebruikers zich ook tegen deze malware beschermen door de Windows Script Host uit te schakelen, zoals uitgelegd in dit artikel van anti-virusbedrijf Trend Micro.

Image

Reacties (3)
17-10-2016, 12:03 door Anoniem
Ik krijg flashbacks naar 15 jaar terug ... Office Marco's, WSF ... * gaap *
17-10-2016, 12:31 door Anoniem
"Symantec zegt de afgelopen periode miljoenen e-mails te hebben geblokkeerd die internetgebruikers via wsf-bestanden met de Locky-ransomware probeerden te infecteren."
Oh, volgens mij wordt wsf standaard doorgelaten door de geweldige antivirus software van Symantec.
Nadat een systeembeheerder instelt dat wsf moet worden gestopt, gebeurd dat pas.
17-10-2016, 16:37 door SecGuru_OTX
Als je als organisatie nu nog steeds executables en scripts via e-mail toestaat dan maak je echt de verkeerde keuzes.

Voor thuisgebruikers:
- maak een account aan met alleen user rechten en gebruik alleen dit account. Wanneet je iets wilt installeren komt er een admin login, na het invoeren van je admin account kun je alsnog installeren.
- gebruik HitmanPro.Alert of Malwarebytes Premium en Malwarebytes Anti-Exploit.
- gebruik de OpenDNS servers, niet die van je provider. OpenDNS stopt veel dns verzoeken naar malware sites of payload domeinen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.