JavaScript Ransomware

 

Nový Ransomware RAA je napsaný v JavaScriptu
RAA se nešíří v příloze pošty jako typicky spustitelný soubor. Přijde vám dokument se skutečnou příponou .JS, kterou Windows spouští přes vestavěný Windows Scripting Host.

13. čvn.
JAMESWT @JAMESWT_MHT
@benkow_ @enom @Hetzner_Online @malwrhunterteam @jedisct1 @_operations6_ @Antelox @demonslay335 pic.twitter.com/53OpUYeh9E
Sledovat
Benkow moʞuƎq @benkow_
@JAMESWT_MHT @malwrhunterteam @jedisct1 @Antelox self called "RAA" and seems to be 100% in JS pic.twitter.com/wOob6BFWLY
11:59, 13. čvn. 2016
Zobrazit obrázek na Twitteru
2 2 retweety 2 2lajky
Za nalezení a analýzu můžete poděkovat Benkow a JamesWT

Zobrazit obrázek na Twitteru

Díky knihovně CryptoJS dokáže přes AES zašifrovat obsah disku. Po otevření zdánlivého dokumentu sice oznámí chybu, na pozadí ale začne procházet všechny disky s povoleným zápisem a šifrovat soubory s příponami .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv

Smaže také systémové verzování souborů, aby se nedaly obnovit po zašifrování.

Navíc také do systému nainstaluje Pony Stealer, který krade hesla a zařadí PC do botnetu. Spustitelný kód tohoto programu je součástí spouštěného scriptu a nemusí se stahovat z internetu.

268588405
Pokud uvidíte tento dokument, okamžitě vypněte počítač, na pozadí se vám už šifruje

RAA po obětech žádá zaplacení 250 dolarů v Bitconech do týdne od nákazy, jinak klíč k obnově dat smaže. Veškerá komunikace probíhá v ruštině, což naznačuje hlavní cílovou skupinu pro tento program.

Samotný záškodnický program se tedy chová velmi podobně jako tradiční Ransomware. Zajímavý je zejména využitím JScriptu (JavaScript od Microsoftu), který může případnými filtry e-mailové komuniace procházet snadněji než obyčejný spustitelný soubor s příponou EXE.