ComputerBase Menü
Aktuelles

Java-Script Datei Ausführung verhindern?

C

Creati

Gast
Hallo
auf heise gibt es gerade einen neuen Artikel zu Locky:
http://www.heise.de/newsticker/meld...er-Javascript-Dateien-verbreitet-3113689.html

Zitat:"Im Anhang findet sich ein ZIP-Archiv nach dem Muster RG843841155137-SIG.zip, das eine Javascript-Datei enthält. Wer neugierig geworden ist und das Skript ausführt, fängt sich umgehend den Verschlüsselungs-Trojaner ein."

Bisher habe ich alle Rechner im Bekanntenkreis geschützt, indem ich die komplette Ausführung von Macros in Office-Dateien abgeschaltet habe. Natürlich sind auch alle Anwender so instruiert, dass sie Anhänge nicht öffnen sollen. Manchmal passiert sowas trotzdem und daher will ich das gleich im Keim ersticken.

Ich kenne mich jetzt so mit JavaScript nicht aus, außer dass es im Webbroser zum Einsatz kommt und wenn man es abschaltet viele Seiten nicht mehr richtig funktionieren. Wenn man nun eine lokale JavaScript-Datei hat, wird das dann durch den Browser ausgeführt? Kann man das Ausführen von solchen Dateien verhindern?
Eine JavaScript-Datei hat denke ich mal die Endung .js. Eine Möglichkeit wäre daher wohl in der Registry den entsprechenden Eintrag zu löschen, in welchem hinterlegt ist, wie solche Dateien ausgeführt werden sollen. Kann man Anwender da noch weiter schützen außer durch noch mehr Aufklärung?
 
Für den Durchschnittsanwender allerdings nicht geeignet, da damit die meisten Websites nicht richtig funktionieren und dann eben vom Nutzer alle Skripte aktiviert werden, damit es funktioniert.
 
Ich glaube, ihr missverstehst meine Problemstellung. Es geht mir nicht um Javascript im Browser.
Leis Dir einmal den heise-Link durch. Es gehen Mails mit Anhang rum, wo in einem ZIP-Archiv eine .js-Datei hinterlegt ist. Wird diese ausgeführt, wird der Locky-Trojaner heruntergeladen und startet sein Spiel. Idee ist nun die lokale Ausführung von .js-Dateien zu unterbinden. Unter Windows werden die Dateien wohl mit dem Microsoft Windows Based Script Host ausgeführt.
Die simpelste Lösung wäre halt, diese Zuweisung auf allen Rechnern zu löschen, also das kein Programm hinterlegt ist, um die Datei zu öffnen. Ich weiß allerdings nicht, ob dann andere Programme Probleme haben werden in ihrem Betrieb. Daher frage ich noch nach Alternativen hierzu.

Es geht hier nicht um die Absicherung eines Webbrowsers.
 
Creati schrieb:
Kann man Anwender da noch weiter schützen außer durch noch mehr Aufklärung?
Zum Vergrößern anklicken....
Je nach Mail-Software könnte man zip als Anhang verbieten. (Geht etwa bei Outlook, da werden z.B. exe-Dateien im Anhang gar nicht erst angezeigt.) Dann ist das Problem generell behoben, dass sich was in einer ZIP-Datei verstecken kann.


Ansonsten: Hier wird beschrieben, wie man über App-Locker entsprechende Programme bzw. Erweiterungen sperren kann -> http://www.tecchannel.de/server/win...er_windows_programme_per_richtlinien_sperren/ Geht auch mit .js, allerdings wird mindestens die Prof-Version von Windows benötigt.
 
App-Locker scheint ja wirklich sehr gut zu sein. damit werde ich mich mal näher beschäftigen!
Bei Outlook schaue ich auch mal rein, was man damit filtern kann. Mir war nicht bewusst, dass Outlook selbst auch Anhänge filtern kann.
Damit sollte ich die Problemematik in den Griff bekommen. Danke euch!
 
Ein ganz simpler Weg, in Zukunft zu verhindern, dass heruntergeladene JS-Dateien durch Doppelklick ausgeführt werden, wäre der, diesem Dateityp als Standard-Programm einen Texteditor wie Notepad zuzuordnen. Der öffnet dann die Datei wie eine Textdatei und zeigt deren Inhalt an. Geht natürlich nur, wenn sonst nie Bedarf besteht, harmlose JavaSkripte auf diesem System unabhängig vom Browser auszuführen.
 
Creati schrieb:
Mir war nicht bewusst, dass Outlook selbst auch Anhänge filtern kann.
Zum Vergrößern anklicken....
Das ist auch ein wenig versteckt und läuft IMO über RegEdit. Wenn du nach googelst, dann findest du die entsprechenden Infos.

Default werden - zumindest bei neueren Versionen - etwa .exe geblockt.


Was mir sonst noch einfällt: Man könnte über Filterungen in der Mail-Software z.B. auch alle Mails mit Anhang der Kategorie ROT zuordnen und eine entsprechende Beschreibung vergeben. Könnte dem Otto-Normalverbraucher etwa so angezeigt werden:

Warnung.jpg
 
Zuletzt bearbeitet:
Locky wird auf verschiedenen Wegen kommen und wie immer hinken die Virenschutz Programme unterschiedlich hinterher bei den Verschlüsselungs Ransoms wie Teslacrypt3, Locky usw. mein Vorschlag an dich und deine Bekannten die du betreust wäre: legt euch jeder eine USB Festplatte zu wenn noch nicht vorhanden, installiert dann ein Freeware Backup/Image Programm wie Paragon Backup & Recovery Free, Macrium Reflect Free oder Aomei Backupper Free und macht damit regelmässig Backups/Images entweder von der gesamten Festplatte des PC's oder Notebooks oder mindestens von der Systempartition C und nehmt als Speicherort für die Sicherungen die USB Festplatte. Ausserdem sichert als Kopien auch auf der USB Festplatte euch wichtige Dateien wie Office Dokumente, Fotos, Musik Dateien usw und aktualisiert die auch immer wieder wenn neue dazu gekommen sind. Verwendet dann die USB Festplatte nur dann wenn die benutzt/gebraucht wird für die Sicherungen lasst sie sonst ausgeschaltet bzw nicht angeschlossen denn wenn die USB Festplatte angeschlossen und eingeschaltet ist, die also im Arbeitsplatz angezeigt wird , dann würden die Dateien darauf auch verschlüsselt werden wenn ein Ransom wie Locky zuschlägt. Wichtig ist auch das ihr eure Systeme immer zeitnah aktualisiert, wichtige Windows Updates installiert und eure Software und da vor allem Browser und Browsererweiterungen up to Date sind. Dabei kann euch PSI oder FileHippo AppManager unterstützen. Last but not least könnt ihr noch neben dem verwendeten Virenschutz Programm als 2. Schutz Malwarebytes Anti Ransomware installieren: http://www.chip.de/downloads/Malwarebytes-Anti-Ransomware_88768596.html (Manuell Installation wählen).
 
@IRON67
Genau die Idee hat ich im Prinzip ja auch. Wenn man sonst diese Dateien nicht manuell ausführen muss, sollte es ja klappen. Aber ich frage mich halt, ob es da dann nicht Kompliaktionen bei anderen Programmen gibt. Vllt sind manche Programme auf diese Standardhinterlegung angewiesen. Ich probiere es am Besten wohl mal einfach am eigenen Rechner bevor ich das bei anderen Rechnern anwende.

@M@rsupil@mi
Was es nicht alles gibt. Ich bin positiv überrascht :)

@purzelbär
Ist alles entsprechend umgesetzt, nur komfortalber. Backups liegen mehrfach vor und auch in Bankschließfächern.
Nur ist Malwarebytes Anti Ransomware nicht installiert. Da schaue ich mal genauer nach.
 
Zuletzt bearbeitet:
Eigentlich müsstest du nur deine Bekannten impfen keine Anhänge von unbekannten E-Mail Absendern zu öffnen und schon gar nicht deren Inhalt versuchen zu öffnen. Solche E-Mails gleich löschen!! Aber locky wird auch als Exploits "vertrieben" werden habe ich bei golem.de und heise.de gelesen, also noch ein Infektionsweg mehr.
@purzelbär
Ist alles entsprechend umgesetzt, nur komfortalber. Backups liegen mehrfach vor und auch in Bankschließfächern.
Zum Vergrößern anklicken....
Nur ist Malwarebytes Anti Ransomware nicht installiert. Da schaue ich mal genauer nach.
Gut, dann seit ihr ja gewappnet:)denn gegen eine Boot CD von zum Beispiel Paragonmit der ihr ein Systembackup der gesamten Festplatte einspielt, hat auch locky keine Chance:D
 
Zuletzt bearbeitet:
Es immer nur sagen ist eine Sache. Wenn man kritische Fälle gleich & direkt unterbinden kann, dann ist das noch viel besser, weil es einem selbst viel Arbeit erspart und der "ich habe gerade nicht aufgepasst"-Moment entschärft wird. Es gibt ja noch genügend Wege, wo der Anwender vorsichtig sein muss.
 
Creati schrieb:
Aber ich frage mich halt, ob es da dann nicht Kompliaktionen bei anderen Programmen gibt. Vllt sind manche Programme auf diese Standardhinterlegung angewiesen.
Zum Vergrößern anklicken....

Möglich, habe ich hier™ aber noch nicht bemerkt. Versuchs doch einfach mal. Mach vorher ein Backup des korrespondierenden Registryschlüssels, so dass der Originalzustand bei Bedarf wiederhergestellt werden kann.
 
Der Weg mit den Exploits ist glücklicherweise schon gut verbaut. Flash und Java sind nicht installiert und Werbeblocker sind auch installiert. Bleibt als Einfallstor halt die schöne und bekannte E-Mail. Aber ich denke mal, dass Du hier genügend Ideen für Maßnahmen gekommen sind, um Ransomsoftware auf den Rechnern zu verhindern :)
Habe jetzt mal die .js-Standardhinterlegung geändert.
 
Keine Ahnung, ob ich was damit verhindere. Daher frage ich hier, da ich da Null Ahnung habe :)
 
Was du mit dem Zuordnen von JS-Dateien zu einem anderen Standardprogramm verhinderst, habe ich ja geschrieben. Du verhinderst deren Ausführung mit dem Windows eigenen Scriptinterpreter bei Doppelklick auf eine JS-Datei. Wirelessy hat natürlich damit Recht, dass das nicht den Aufruf von csript.exe mit einer JS-Datei als Startparameter verhindert, was dann durch bereits aktive Malware oder eine manipulierte Mail passieren könnte. Je umfangreicher du also die Rechte einschränkst, desto besser. Freilich wäre es, wenn sowas passiert, eh schon so ziemlich zu spät.
 
IRON67 schrieb:
was dann durch bereits aktive Malware oder eine manipulierte Mail passieren könnte.
Zum Vergrößern anklicken....

Stimmt, ich habe auch mal bei heise gelesen, dass Mails auch mit JavScript wohl infiziert rumkommen doer Ähnliches. Bei Locky
ist dann der Vorteil, dass es direkt als JS-Datei im Anhang kommt. Durch eure Ausführungen ist klar, dass die Standardzuordnung einer JS-Datei für Programme egal ist und die Abänderung der Standardanwendung normale Nutzer effektiv und ohne Nachteile vor solchem Spaß schützen kann :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz