fredag 19 februari 2016

Höga nivåer virus i e-posten

De senaste dagarna har extremt höga nivåer ny malware noterats i e-postflöden i hela världen. Främst handlar det om .doc, .docm och .js-downloaders som är okända för de flesta antivirusmotorer. Attackerna är kortvariga och upphör nästan omedelbart efter att antivirus-programmen uppdateras med signaturer som kan blockera den skadliga koden.

Extremt höga nivåer e-post innehållande "downloaders" har under veckan orsakat stora problem för både företag och privatpersoner. Den illasinnade e-posten kamouflerar sig som ett besked om en obetald faktura, eller ett paket som skall lösas ut, och hänvisar till en bifogad fil. Angreppen är massiva i hela världen och WeCloud har blockerat tusentals virus per sekund under vissa perioder.



De bifogade filerna är ofta av typen .doc, docm eller .js och innehåller kod som laddar ner en mer avancerad skadlig kod från webben. De flesta av de bifogade filerna är helt okända för samtliga antivirusprogram. WeCloud har testat ett stort antal av de skadliga filerna på VirusTotal och MetaScan, som analyserar filerna med ett stort antal olika antivirusprogram och resultatet är i de flesta fall att inga antivirusmotorer har fungerande skydd.



"Man kan nästan misstänka att de som står bakom angreppen testar sina virus mot VirusTotal och MetaScan en gång i minuten, för att direkt uppdatera sina virus när någon börjar blockera dem", säger René Steenfeldt, Head of Security & Development på WeCloud.

Lyckligtvis är spammarna inte så kreativa när det gäller innehållet i själva e-postmeddelandet, så en stor del av de e-posten som innehåller ny skadlig kod kan stoppas med hjälp av spamfilter även då antivirus-signaturer saknas.

WeCloud's analytiker är övertygade om att de massiva utskicken av ny skadlig kod kommer fortsätta den närmsta tiden och rekommenderar därför att man ser över sin policy för tillåtna bilagor i inkommande e-post. Genom att blockera e-post med .docm .doc och .js kan även okända virus stoppas redan i e-postfiltreringen.

Filtyper att blockera i e-postflödet
För att minimera riskerna och stoppa okänd skadlig kod kan filtyperna nedan blockeras. Dessa filtyper är relativt ovanliga i legitim e-postkommunikation och bör inte orsaka att onödigt många legitima e-postmeddelanden stoppas.

.docm
.dotm
.js
.jse
.exe
.msi
.pif
.com
.scr
.ws
.wsh
.vb
.vbe
.vbs



För utökat skydd och ytterligare minimera risker kan även följande filtyper blockeras
.application
.bat
.cmd
.dotm
.gadget
.hta
.inf
.jar
.lnk
.msc
.msh
.msh1
.msh1xml
.msh2
.msh2xml
.mshxml
.msp
.potm
.ppam
.ppsm
.ppt
.pptm
.ps1
.ps1xml
.ps2
.ps2xml
.psc1
.psc2
.reg
.scf
.sldm
.ws
.wsc
.wsf
.wsh
.xlam
.xls
.xlsm
.xltm


Övriga åtgärder
Kontrollera också att din domän har ett fungerande SPF-record konfigurerat, på så vis kan kan WeCloud blockera förfalskade avsändare som använder ditt domännamn, läs mer om SPF här. För bästa säkerhet bör du också ha ett lokalt uppdaterat antivirusprogram. WeCloud erbjuder Webroot SecureAnywhere - ett molnbaserat antivirus som alltid har tillgång till de senaste uppdateringarna - utan att du behöver ladda ned uppdateringar lokalt gång på gång.

Skanning av http och https-trafik är också viktigt. WeCloud erbjuder en molnbaserad proxy, Zscaler WebSecurity, som låter dig applicera policy och antivirus-skanning på verksamhetens http/https-trafik.

Läs mer om hur enkla policys kan minimera riskerna här.

Läs mer om Makro-virus här. 

www.wecloud.se
info@wecloud.se