Обнаружен первый вирус-шифровальщик, созданный на JavaScript

Фабиан Восар (специалист компании Emsisoft) сообщил о выявлении нового типа вируса-вымогателя. Вирус получила название Ransom32, для его создания использовалась платформа NW.js (ранее известна как Node-WebKit).

4.bp_.blogspot.com-4FhAyb940vYVophDp-OIWIAAAAAAAAmEE3U_-37rV8hos1600javascript-ransomware-malware-43bbc334211b5ae18ddd0f460c28821ac34cc508

NW.js – кроссплатформенный фреймворк, позволяющий создавать программы при помощи популярных веб-технологий, включая JavaScript, HTML и CSS. Основана платформа на Node.js и Chromium и функционирует в обход песочницы JavaScript.

Восар отметил, что NW.js позволяет гораздо глубже взаимодействует с компонентами операционной системы. В этом случае JavaScript способен работать как полноценные языки программирования (например, Delphi и C++).

Специалист также подчеркнул, что Ransom32 первый в мире вирус-вымогатель, созданный на базе JavaScript. Восар также выяснил, что создатели вредоносной программы продают созданное ПО как сервис (данная схема набирает популярность среди авторов вымогателей). За использование Ransom32 авторы берут почти 25% от заработанного.

ransom32_message-730x456

Чтобы начать использовать новый вирус, достаточно иметь биткоин кошелек. Клиент получает доступ к простой панели управления. Для авторизации используется Tor hidden service, также необходимо ввести адрес кошелька, на который пострадавшие будут переводить средства. После этого вредоносная программа практически готова к работе. Статистика демонстрируется также через панель управления.

Распространяется Ransom32 в архиве WinRAR (самораспаковывающийся), для распаковки и инсталляции используются команды SFX script.

Основной программный код содержится в исполняемом файле chrome.exe. В процессе заражения утилита использует легитимные инструменты NW.js, что затрудняет детектирование. Даже через несколько недель после обнаружения антивирусными компаниями, не все антивирусы детектируют новый вирус. В этом Ransom32 похож на нашумевший шифровальщик CryptoLocker, который заразил миллионы компьютеров.

После заражения системы Ransom32 шифрует файлы данные, используя AES-128. При этом ключ шифрования меняется для каждого файла. После инфицирования жертве дают возможность декодировать один документ бесплатно, за возвращение остальных файлов необходимо платить.

 

1 star2 star3 star4 star5 star (2 голос, среднее: 5,00 из 5)
Загрузка...
Безопасность и баги
Комментировать!

Вам понравится

Google Chrome для Windows будет блокировать внедрение стороннего кода... В 2018 году Google Chrome начнет блокировать попытки внедрения кодов сторонних программ в свои процессы. Представители Google объяснили, что примерно у двух третей пользователей Ch...
Google раскрыла детали уязвимостей в Chrome ОС, принесших нашедшему их эксперту ... Еще в 2015 году компания Google решила «повысить ставки» и сообщила, что заплатит $100 000 специалисту, который сумеет создать и продемонстрирует цепочку эксплоитов, гарантирующую ...
По статистике Chrome, доля защищенного трафика на платформе Android за год вырос... Компания Google опубликовала отчет Transparency Report, из которого следует, что интернет уверенно переходит на использование защищенного протокола HTTPS.Примерно год назад бра...
В Chrome 64 будет прекращено автоматическое воспроизведение видео со звуком... Компания Google приняла решение прекратить автоматическое воспроизведение видео со звуком в браузере Chrome. Если ранее автоматическое воспроизведение блокировалось для фоновых вкл...
В Chrome 63 появятся средства информирования о попытках перехвата HTTPS... В кодовую базу Chromium 63 принято изменение с реализацией техники выявления попыток перехвата трафика HTTPS, в результате активности вредоносного ПО или MITM-прокси. В качестве пр...
Google собирается предотвратить восстание роботов... Из-за активного развития технологий машинного обучения, искусственного интеллекта и робототехники многие специалисты высказывают свои опасения касательно возможности так называемог...