fredag 23 oktober 2015

Postnord-trojanen fortsätter lura antivirussystemen

WeCloud har identifierat flera nya varianter av Postnord-trojanen. Den senast upptäckta stoppas för närvarande inte i någon av de 55 antivirusmotorerna på VirusTotal.

Den otäcka Postnord-trojanen som krypterar filer på offrets hårddiskar och nätverksenheter fortsätter att klonas. De nya klonerna är så pass olika sina föregångare att de lurar samtliga antivirussystem.

Genom en enkel test på Virus Total - en testsida som analyserar skadlig kod med 55 olika antivirussystem - kan vi snabbt konstatera att inga traditionella antivirussystem i nuläget blockerar den nya varianten.


Klockan 00:17 den 23 Oktober känner ingen av de testade antivirussystemen igen den nya varianten av Postnord-trojanen.

WeClouds antiviruslösning, Webroot SecureAnywhere, blockerar dock den nya varianten. Eftersom antivirusdatabasen finns i molnet behöver klienten inte uppdateras för att dra nytta av det senaste skyddet, kontrollen sker istället i realtid mot molndatabasen.

Filens namn är precis som tidigare "leverans.exe", den nya varianten har följande MD5 hash: 536B57792F9AB99CC92471ED60485364

Läs mer om den nya vågen av Postnord-mail och tips på hur du skyddar dina system här.

www.wecloud.se
info@wecloud.se

torsdag 22 oktober 2015

Goda råd för att skydda dig mot Cryptolocker och Ransomware

Ransomware och Cryptolocker har den senaste perioden orsakat stor skada hos både privatpersoner, företag och organisationer. Traditionella antivirussystem har länge haft svårt att hantera den stora mängden ny skadlig kod som dagligen publiceras på Internet eller skickas runt via e-post, men det är först på senaste tiden som hoten blivit så kännbara för användare och administratörer. I den här artikeln tipsar WeCloud om åtgärder som kan hjälpa dig att minimera riskerna med både ransomware och annan skadlig kod.

I den här artikeln presenterar vi en rad viktiga inställningar som kan hjälpa dig att skydda dina användare och nätverk mot Cryptolocker och Ransomware. Några av tipsen är grundläggande medans andra beskrivs mer detaljerat i denna post.

Grundläggande försiktighetsåtgärder
  • Verifiera att ditt antivirusprogram är installerat och uppdaterat.
  • Försäkra dig om att ditt operativsystem är uppdaterat med de senaste patcharna.
  • Se till att alla plug-ins (Java, Flash, Adobe etc.) är uppdaterade till senaste version.
  • De-aktivera Auto-run och Windows Scripting Host.
  • Låt inte användare vara administratörer på sina datorer.
  • Ta alltid en full backup på din data.
  • Stoppa exekverbara filer i surftrafiken och e-posten i ditt webbfilter och e-postfilter.

Utökade försiktighetsåtgärder
Här beskriver vi ett antal policy-inställningar i Windows som bl.a. förhindrar vissa sökvägar och filtyper att exekvera. Observera att dessa inställningar kan leda till att vissa program kan sluta fungera eller inte tillåtas installeras. Testa alltid dina policy's innan du kör dem i produktion!

Introduktion till "vanliga malware mappar"
Malware "droppas" oftast i några få vanliga mappar på din dator, när de väl hamnat där kan de flytta sig till andra mappar och filer i ditt system.

De vanligaste mapparna där malware hamnar är:
  • Användarens temp-katalog (kallas ofta %localusertemp%)
  • Appdata med underkataloger (Roaming,local app data)
  • Users profile
  • Temp katalogen (%temp% eller C:\Windows\temp)
  • Webbläsarens cache-katalog  (%cache sökvägen varierar beroende på webbläsare, se nedan för exempel)
  • c:\users\admin\appdata\local\microsoft\windows\temporary internet files\content.ie5\
  • Skrivbordet
För att nå en katalog som anges med % är det bara att skriva dem i Windows "Kör" eller Windows Sök-fält i startmenyn. Skriver du t.ex. %temp% hamnar du direkt i C:\Users\admin\AppData\Local\Temp.

När en infektion finns på din dator och är aktivt kan den flytta sig till andra mappar för att göra det svårare att hitta den eller till en plats där det är lättare att sprida sig vidare. Mer sofistikerad malware kan sprida sig till en nätverksenhet. Många skadliga koder kan också använda en registernyckel eller andra metoder (scheduled task, service etc.) för att automatiskt starta.
  • C:\program data\ (som default gömd mapp)
  • C:\Windows
  • C:\Windows\System32
  • C:\Recylcer\ (gömd mapp, papperskorgen)
  • C:\ (Root)
  • C:\Program files\ (både 32 och 64bit) vanlig plats för PUA's (Potentialy Unwanted Applications)
Malware använder sig ofta av välkända namn för att lura användaren, t.ex. används ofta winlogon.exe som är en nyckelkomponent i Windows. Winlogon.exe ska ligga i c:\windows\system32\winlogon.exe och är cirka 450 kb stor.

Hittar du winlogon.exe i användare-mappen med dubbel storlek så är det en tydlig indikation på att något är fel. Webroot SecureAnyhwere kontrollerar ständigt status och bedömer sökvägar, filer och beteende. Det vi med denna guiden vill åstadkomma är begränsningar för vilka filtyper som har access till de olika mapparna för att utöka säkerheten yttligare.


Inaktivera Autorun
Autorun är en smart funktion men används ofta för att sprida skadlig kod i företagsnätverk. Vanligtvis handlar det om VBS-malware och maskar som automatiskt körs och sprider sig från USB-minnen när de stoppas in i en dator. Autorun kan enkelt inaktiveras genom en förändring i Local Group Policy Editor:

Beskrivningen gäller en lokal dator, men fungerar snarlik i en gemensam policy för alla datorer i nätverket (Active Directory). Notera att denna förändring inte förhindrar användningen av USB-minnen.

  • Klicka på start-menyn och skriv gpedit.msc och tryck enter
  • Gå till Computer Configuration > Administrative Templates > Windows Components, och klicka på Autoplay Policies.
  • Dubbelklicka på Turn off Autoplay i listan
  • Klicka på Enabled och välj alla enheter för att inaktivera autorun på dem.



Använd Policy Editor för att blockera sökvägar
Polcys är ett kraftfullt verktyg som vanligtvis används för att förhindra användare att installera program på systemet. Men de kan också användas på flera kreatvia sätt för att öka säkerheten.

Beskrivningen nedan gäller en lokal policy, men samma princip kan användas i en nätverks policy. Läs gärna mer om nätverkspolicys här!

Policys kan kopplas till olika grupper av användare och på så vis anpassas efter behov. När du skapar en policy är det viktigt att den testas innan du applicerar den i produktion. Exempel på säkerhetshöjande policys: 

  • Blockera öppning av exekverbara filer i temp-mappen
  • Blockera modifiering av VSS-servicen
  • Blockera  öppning av exekverbara filer i temp+appdata
  • Blocking skapandet av "startup entries"
I en normal miljö bör inte .SCR,.PIF,CPL-filer exekveras i användarens temp-mapp, program data eller från skrivbordet.

En policy som förhindrar ovanstående bör vara relativt säker. Flera versioner av Cryptolocker använder filformatet SCR, som egentligen är en komprimerad exekverbar kod.

Vill du gå ett steg längre kan du förhindra att PE-filer i vanliga mappar, där malware ofta hamnar.

  • EXE,DLL,SYS,FON,EFI,OCX och SCR
  • Temp+Appdata+ProgramData etc
För att skapa en policy öppnar du Group Policy Editor och går till: Computer Configuration > Windows Settings > Security Settings > Software Restriction Policies

Första steget är att ändra en inställning i "Enforcement". Ändra inställningen från “All software files except libraries” till “All Software Files”.



Skapa sedan en policy genom att höger-klicka i den högra sidan av fönstret och välj “New Path Rule”.



Ett nytt fönster öppnas där vi kan skapa våra policy-regler. I detta fönster kan vi bläddra till specifika mappar eller så kan vi använda wildcards för vanliga mappar. I exemplet nedan har vi skapat en policy som hindrar exekverbara filer att köras från C:\Windows\Temp.


Notera att legitima program ibland vill exekvera från denna mapp. Nedan följer några exempel på andra sökvägar där det kan vara bra att förhindra exekvering:



  • %appdata% (detta är användarens lokala app data-mapp, en vanlig mapp för droppers)
  • %temp% (den vanligaste sökvägen för levererad malware)
  • %userprofile% (användarprofilens root-katalog)
  • %localappdata% (local användares appdata)
  • %programdata% (Windows Vista och senare)
  • C:\Windows\Temp (Windows temp)





Om ett program försöker exekvera från någon av de blockerade sökvägarna får användaren nedan felmeddelande. Om filen flyttas till en annan icke-blockerad sökväg kommer den tillåtas exekvera.





Blockera access till Volume Shadow Copy Service
I Windows XP och senare skapar operativsystemet lokala kopior av filer med "VSS copy service" som ligger på följande sökväg C:\Windows\System32\VSSAdmin.exe

Tidigare versioner av Cryptolocker lät VSS copy service köra och kopior av filer kunde användas för att återställa krypterad data med t.ex. "Shadow Explorer" (dock endast lokala filer - ej filer på nätverksenheter).

Vi kan låsa accessen till VSS copy service och därigenom stoppa Cryptolocker från att försöka ta bort kopiorna av orginalfiler. Detta genom att skapa en policy (liknande de som beskrivs ovan) men koppla den till den körbara filen VSSADmin. Försök att accessa eller stoppa denna service kommer då blockeras.



Ett felmeddelande visas när någon/något försöker stoppa tjänsten




Deaktivera Windows Script för att blockera VBS-Script
VBS-script används ofta för att ställa till oreda eller att ladda ner mer avancerad malware till ett system. Ett exempel är ILOVEYOU VBS som drabbade många i början av 2000-talet. Idag används VBS oftast för att dölja mappar och flytta filer mellan olika mappar.

VBS-script kan enkelt stoppas från att köra genom att inaktivera Windows Script Host engine som används för att köra VBS-script.

Dessa två registernycklar används för att inaktivera Windows Script Hosting Engine Executable (Wcscript.exe) att köra: 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings\Enabled
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled


Övrigt
En grundläggande policy är viktig för att skydda dina system. Fundera över om alla användare i  din miljö verkligen behöver kunna klicka på http/https-länkar som leder till körbar kod, eller om alla användare måste kunna ta emot exekverbara filer via epost.

Saknar du verktyg för att på ett blockera skadlig kod eller sätta policy om filtyper i surftrafiken eller epost-trafiken? Fungerar ditt webbfilter även när användaren tar med datorn hem? Kontakta WeCloud och låt oss berätta om våra molnbaserade lösningar för att virus-skanna och sätta policys för din verksamhets webbtrafik och e-posttrafik.

Vi hoppas att informationen kan komma till hjälp och vill också tacka Roy Tobin, Threat Researcher på Webroot, för hans hjälp med dessa goda råd.

Läs mer om den nya vågen av Postnord-mail och hur Postnord-trojanen fortsätter lura antivirussystemen.

www.wecloud.se
info@wecloud.se


onsdag 21 oktober 2015

Nya varianter av Postnord-bluffen

Under natten till onsdag upptäcktes flera nya varianter av förfalskade Postnord-mail. Den förfalskade e-posten innehåller länkar till skadliga koder, bland annat nya varianter av så kallad "ransomware".

För några veckor sedan mottog många privatpersoner och företag förfalskad e-post, där Postnord uppgavs som avsändare. Nu har en ny våg av förfalskad Postnord-mail drabbat tusentals användare.


 Varning! Klicka inte på länkar i e-post som ser ut att komma från Postnord!

Genom att justera och variera innehållet i de förfalskade mailen försöker förövarna kringgå signaturbaserade spamfilter. Länkarna i den nya vågen av förfalskade Postnord-mail byts ut snabbt och filerna på de webbplatser som länkarna leder till uppdateras löpande med nya versioner av den skadliga koden för att kringgå och lura antivirussystem.

WeCloud's spamfilter detekterar sedan i morse de flesta varianter av den nya vågen av förfalskade Postnord-mail.

En enkel men effektiv metod för att minimera riskerna att bli infekterad är att helt blockera EXE, COM, SCR och BAT-filer i sitt webfilter och epostfilter. 

WeCloud erbjuder också mer avancerade metoder för att identifiera helt nya varianter av den skadliga koden. Genom att aktivera File Behaviour Analytics i Zscaler WebSecurity kan filerna först exekveras i Zscaler's virituella miljö och dess fullständiga beteende kontrolleras innan filen tillåts laddas hem av användare.

-I de lägen när nya angrepp sprider sig så här snabbt blir webbskyddet extra viktigt. Eftersom ny e-post med okända länkar sällan har några problem att ta sig förbi spamfilter under den första tiden de skickas ut så är det viktigt att också kontrollera vad som hämtas hem från länkarna om en användare väl klickar på dem. När användaren väl klickar på en länk är chansen mycket större att säkerhetssystemen hunnit lära sig känna igen länkarna eftersom det ofta sker en stund efter det att mailet skickats, säger Rikard Zetterberg, VD på WeCloud.

WeCloud levererar lösningar för webbsäkerhet, antispam, antivirus och övervakning i molnet. Med WeClouds globala säkerhetsplattform får våra kunder högsta tänkbara säkerhet utan investeringar i hård- eller mjukvara. Genom WeClouds molnbaserade säkerhetstjänster kan alla verksamhetens användare skyddas i realtid oavsett tid, plats och klientplattform.

Läs mer om hur Postnord-trojanen fortsätter lura antivirussystemen och tips på hur du skyddar dina system här.

www.wecloud.se
info@wecloud.se

fredag 16 oktober 2015

Nya rapportfunktioner i Webroot Global Site Manager

I den senaste uppdateringen av Webroot Global Site Manager finns omfattande funktioner för schemalagd rapportering som ger dig som MSP eller återförsäljare en detaljrik överblick över statusen på dina kunders Webroot-installationer.

Global Site Manager är en portal för partners som levererar Webroot SecureAnywhere till flera kunder. I portalen kan nya kunder upprättas och hanteras. Portalen ger också möjlighet att konsolidera policys och andra inställningar så att flera olika kunder kan ta del av en och samma konfiguration.

Med det nya mycket granulära rapporteringsverktyget kan du som MSP eller partner nu schemalägga rapporter som visar utvald information och som ger en tydligare förståelse för klienternas status. Som en annan del av den här uppdateringen blir Windows 10 ett sökbart kriterie.

Rapporteringen kan nu schemaläggas och köras på återkommande tidsperioder eller ad-hoc, med innehåll som är anpassat till mottagaren önskemål. Internt innebär detta att du får större synlighet över dina installationer och att både du och dina kunder aldrig kommer missa viktig information.

Mer information finns här!

www.wecloud.se
info@wecloud.se

torsdag 15 oktober 2015

WeCloud slår rekord i tredje kvartalet

Molnsäkerhetsleverantören WeCloud rapporterar ett nytt rekordkvartal. Under årets tredje kvartal fortsatte nyförsäljning av molnbaserade IT-säkerhetslösningar att öka och slog tidigare rekord. Bara under september månad tecknades nya avtal till ett värde av mer än 5 miljoner kronor.




WeCloud, som grundades i Malmö 2010, utvecklar och distribuerar världsledande lösningar för webbsäkerhet, mobil säkerhet, antispam, antivirus och övervakning i molnet. Genom WeClouds molnbaserade säkerhetstjänster kan verksamhetens användare skyddas i realtid oavsett tid, plats och klientplattform. 

Under perioden juli, augusti, september har företaget slagit nytt försäljningsrekord. Utöver en redan trogen kundstock har WeCloud tecknat ovanligt många nya avtal i miljonklassen med flera av Skandinaviens ledande företag. Totalt har WeCloud tecknat nya avtal till ett värde av mer än 7 miljoner kronor under det tredje kvartalet 2015. 

Den kraftigt ökande nyförsäljningen beror på flera faktorer. Marknaden har mognat och WeCloud har attraherat flera större partners som ser fördelarna med skalbara IT-säkerhetssystem. 

-"Jag är självklart väldigt nöjd. De fantastiska siffrorna är ett resultat av vårt strategiska arbete och att vi har otroligt duktiga medarbetare i bolaget." Säger Rikard Zetterberg, VD på WeCloud AB.

Tidigare års starka resultat har tillåtit flera viktiga investeringar i infrastruktur, organisation och internationell lansering. WeCloud kommer fortsätta investera i organisation, utveckling, och utökning av den tekniska plattformen. 

www.wecloud.se
info@wecloud.se

tisdag 13 oktober 2015

Webroot SecureAnywhere bäst i test igen

WeCloud's antiviruslösning Webroot SecureAnywhere utsågs i fredags till bästa antivirus-produkt i en av världens största datortidsskrifter; PCMag. En kombination av ett vattentätt skydd mot skadlig kod och en enkel administration gjorde Webroot till vinnare.

PCMag är en av de största tidskrifterna när det kommer till recensioner, produkttester och tekniknyheter. PCMag är kända för sin testavdelning PC Labs som är en av de äldsta i branschen och publicerar mer än 2.000 produktrecensioner varje år.

I den senaste rundan av antivirus-tester utsågs Webroot SecureAnywhere till bästa antivirusprodukt och gavs utmärkelsen "Editors Choce". Hela PC Mag's test och recension finns publicerad på www.pcmag.com.



I utlåtandet kan man bland annat läsa att Webroot SecureAnywhere stoppade mer skadlig kod än konkurrerande lösningar. Samtidigt visar utvärderingen att Webroot, med sina unika funktioner, även skyddar mot okänd malware som initialt bedöms som "okänd mjukvara".

Som ledande Europeisk distributör av Webroot SecureAnywhere erbjuder WeCloud kvalificerad och personlig support med lång erfarenhet av externa säkerhetslösningar. Webroots plattform används av miljontals användare i hela världen och i Skandinavien har WeCloud levererat lösningen till mer än 1.500 partners och slutkunder. Bland WeClouds kunder finns både privata, statliga och kommunala verksamheter i alla storlekar. 

www.wecloud.se
info@wecloud.se

fredag 2 oktober 2015

Flera nya sårbarheter upptäckta i Adobe Flash

Under torsdagen den 2:e oktober erkändes flera nya sårbarheter i Adobe Flash. Zscaler har proaktivt utvecklat skydd för attacker mot nya sårbarheter i Adobe Flash. Det avancerade skyddslagret används för att blockera zero-day-hot som utnyttjar nyupptäckta sårbarheter och inkluderas i Zscaler Advanced Behavioral Analysis.




WeClouds webbsäkerhetslösning från Zscaler analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika analyser, jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system oavsett var de kopplat upp sig genom att styra trafiken via någon av skannings-noderna i det globala säkerhetsnätverket.

APSB15-23Security updates available for Adobe Flash Player
Severity: Critical

Affected Software
  • Adobe Flash Player Desktop Runtime 18.0.0.232 and earlier
  • Adobe Flash Player Extended Support Release 18.0.0.232 and earlier
  • Adobe Flash Player for Google Chrome 18.0.0.223 and earlier
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 18.0.0.232 and earlier
  • Adobe Flash Player for Internet Explorer 10 and 11 18.0.0.232 and earlier
  • Adobe Flash Player for Linux 11.2.202.508 and earlier
  • AIR Desktop Runtime 18.0.0.199 and earlier
  • AIR SDK 18.0.0.199 and earlier
  • AIR SDK & Compiler 18.0.0.180 and earlier
  • AIR for Android 18.0.0.143 and earlier
CVE-2015-5567 – Flash Player Stack Corruption Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-5570 – Flash Player Use After Free Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-5572 – Flash Player Security Bypass Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-5573 – Flash Player Type Confusion Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-5574 – Flash Player Use After Free Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-5582 – Flash Player Memory Corruption Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-5584 – Flash Player Use After Free Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-5587 – Flash Player Stack Overflow Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-5588 – Flash Player Memory Corruption Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-6676 – Flash Player Buffer Overflow Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-6678 – Flash Player Buffer Overflow Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-6679 – Flash Player Same-Origin-Policy Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-6682 – Flash Player Use After Free Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis

Description: Critical vulnerabilities have been identified in Adobe Flash Player. Successful exploitation could cause a crash and potentially allow an attacker to take control of the affected system.

www.wecloud.se
info@wecloud.se