Обнаружен первый вирус-шифровальщик, созданный на JavaScript

Фабиан Восар (специалист компании Emsisoft) сообщил о выявлении нового типа вируса-вымогателя. Вирус получила название Ransom32, для его создания использовалась платформа NW.js (ранее известна как Node-WebKit).

4.bp_.blogspot.com-4FhAyb940vYVophDp-OIWIAAAAAAAAmEE3U_-37rV8hos1600javascript-ransomware-malware-43bbc334211b5ae18ddd0f460c28821ac34cc508

NW.js – кроссплатформенный фреймворк, позволяющий создавать программы при помощи популярных веб-технологий, включая JavaScript, HTML и CSS. Основана платформа на Node.js и Chromium и функционирует в обход песочницы JavaScript.

Восар отметил, что NW.js позволяет гораздо глубже взаимодействует с компонентами операционной системы. В этом случае JavaScript способен работать как полноценные языки программирования (например, Delphi и C++).

Специалист также подчеркнул, что Ransom32 первый в мире вирус-вымогатель, созданный на базе JavaScript. Восар также выяснил, что создатели вредоносной программы продают созданное ПО как сервис (данная схема набирает популярность среди авторов вымогателей). За использование Ransom32 авторы берут почти 25% от заработанного.

ransom32_message-730x456

Чтобы начать использовать новый вирус, достаточно иметь биткоин кошелек. Клиент получает доступ к простой панели управления. Для авторизации используется Tor hidden service, также необходимо ввести адрес кошелька, на который пострадавшие будут переводить средства. После этого вредоносная программа практически готова к работе. Статистика демонстрируется также через панель управления.

Распространяется Ransom32 в архиве WinRAR (самораспаковывающийся), для распаковки и инсталляции используются команды SFX script.

Основной программный код содержится в исполняемом файле chrome.exe. В процессе заражения утилита использует легитимные инструменты NW.js, что затрудняет детектирование. Даже через несколько недель после обнаружения антивирусными компаниями, не все антивирусы детектируют новый вирус. В этом Ransom32 похож на нашумевший шифровальщик CryptoLocker, который заразил миллионы компьютеров.

После заражения системы Ransom32 шифрует файлы данные, используя AES-128. При этом ключ шифрования меняется для каждого файла. После инфицирования жертве дают возможность декодировать один документ бесплатно, за возвращение остальных файлов необходимо платить.

 

1 star2 star3 star4 star5 star (2 голос, среднее: 5,00 из 5)
Загрузка...
Безопасность и баги
Комментировать!

Автор: Артем Парасочка

Артем Парасочка
Администратор сайта. Увлекаюсь сайтами, SEO, яблочной продукцией, облаками и немецкими автомобилями. Люблю все синхронизировать и оптимизировать. Окончил ТГПИ.

Оставить комментарий

Войти с помощью: 

Ваш email не будет опубликован.Необходимы поля отмечены *

*