Обнаружен первый вирус-шифровальщик, созданный на JavaScript

Фабиан Восар (специалист компании Emsisoft) сообщил о выявлении нового типа вируса-вымогателя. Вирус получила название Ransom32, для его создания использовалась платформа NW.js (ранее известна как Node-WebKit).

4.bp_.blogspot.com-4FhAyb940vYVophDp-OIWIAAAAAAAAmEE3U_-37rV8hos1600javascript-ransomware-malware-43bbc334211b5ae18ddd0f460c28821ac34cc508

NW.js – кроссплатформенный фреймворк, позволяющий создавать программы при помощи популярных веб-технологий, включая JavaScript, HTML и CSS. Основана платформа на Node.js и Chromium и функционирует в обход песочницы JavaScript.

Восар отметил, что NW.js позволяет гораздо глубже взаимодействует с компонентами операционной системы. В этом случае JavaScript способен работать как полноценные языки программирования (например, Delphi и C++).

Специалист также подчеркнул, что Ransom32 первый в мире вирус-вымогатель, созданный на базе JavaScript. Восар также выяснил, что создатели вредоносной программы продают созданное ПО как сервис (данная схема набирает популярность среди авторов вымогателей). За использование Ransom32 авторы берут почти 25% от заработанного.

ransom32_message-730x456

Чтобы начать использовать новый вирус, достаточно иметь биткоин кошелек. Клиент получает доступ к простой панели управления. Для авторизации используется Tor hidden service, также необходимо ввести адрес кошелька, на который пострадавшие будут переводить средства. После этого вредоносная программа практически готова к работе. Статистика демонстрируется также через панель управления.

Распространяется Ransom32 в архиве WinRAR (самораспаковывающийся), для распаковки и инсталляции используются команды SFX script.

Основной программный код содержится в исполняемом файле chrome.exe. В процессе заражения утилита использует легитимные инструменты NW.js, что затрудняет детектирование. Даже через несколько недель после обнаружения антивирусными компаниями, не все антивирусы детектируют новый вирус. В этом Ransom32 похож на нашумевший шифровальщик CryptoLocker, который заразил миллионы компьютеров.

После заражения системы Ransom32 шифрует файлы данные, используя AES-128. При этом ключ шифрования меняется для каждого файла. После инфицирования жертве дают возможность декодировать один документ бесплатно, за возвращение остальных файлов необходимо платить.

 

1 star2 star3 star4 star5 star (2 голос, среднее: 5,00 из 5)
Загрузка...
Безопасность и баги

 

Комментировать!

Вам понравится

Chrome начал помечать все HTTP-сайты как Not secure Начиная с сегодняшнего дня, Google Chrome будет помечать все HTTP-сайты как небезопасные. Нововведение вступает в силу сразу после выхода Chrome 68. В браузерах пользователи уви...
В новом Chrome защита Spectre использует на 13% больше памяти... Meltdown, Spectre и подобные им критические уязвимости современных центральных процессоров будут иметь негативные последствия для всей компьютерной отрасли ещё долгие годы. Наприме...
Как проверить ПК встроенным антивирусом Chrome... Прежде всего, это совершенно неожиданно для веб-браузера, что в нем нашли тайный антивирусный инструмент несколько месяцев назад. Кроме того, сканирование на вредоносные программы ...
Google перестал предоставлять IP-адреса для Telegram... Компания Google приостановила предоставление IP-адресов мессенджеру Telegram для обхода блокировки в России. Об этом сообщил глава Роскомнадзора Александр Жаров в кулуарах ПМЭФ 201...
Google запускает reCAPTCHA 3 без необходимости ввода... Google представила новую версию системы защиты веб-сайтов от ботов под названием reCAPTCHA 3. Этот вариант системы не требует от пользователя совершать какие-либо действия, чтобы п...
Microsoft и Google обнаружили уязвимость в процессорах Intel... Представители Microsoft и Google сообщили об обнаружении уязвимости в процессорах Intel. Ее исправление потребует загрузки обновления микрокода чипов, что может привести к замедлен...