Обнаружен первый вирус-шифровальщик, созданный на JavaScript

Фабиан Восар (специалист компании Emsisoft) сообщил о выявлении нового типа вируса-вымогателя. Вирус получила название Ransom32, для его создания использовалась платформа NW.js (ранее известна как Node-WebKit).

4.bp_.blogspot.com-4FhAyb940vYVophDp-OIWIAAAAAAAAmEE3U_-37rV8hos1600javascript-ransomware-malware-43bbc334211b5ae18ddd0f460c28821ac34cc508

NW.js – кроссплатформенный фреймворк, позволяющий создавать программы при помощи популярных веб-технологий, включая JavaScript, HTML и CSS. Основана платформа на Node.js и Chromium и функционирует в обход песочницы JavaScript.

Восар отметил, что NW.js позволяет гораздо глубже взаимодействует с компонентами операционной системы. В этом случае JavaScript способен работать как полноценные языки программирования (например, Delphi и C++).

Специалист также подчеркнул, что Ransom32 первый в мире вирус-вымогатель, созданный на базе JavaScript. Восар также выяснил, что создатели вредоносной программы продают созданное ПО как сервис (данная схема набирает популярность среди авторов вымогателей). За использование Ransom32 авторы берут почти 25% от заработанного.

ransom32_message-730x456

Чтобы начать использовать новый вирус, достаточно иметь биткоин кошелек. Клиент получает доступ к простой панели управления. Для авторизации используется Tor hidden service, также необходимо ввести адрес кошелька, на который пострадавшие будут переводить средства. После этого вредоносная программа практически готова к работе. Статистика демонстрируется также через панель управления.

Распространяется Ransom32 в архиве WinRAR (самораспаковывающийся), для распаковки и инсталляции используются команды SFX script.

Основной программный код содержится в исполняемом файле chrome.exe. В процессе заражения утилита использует легитимные инструменты NW.js, что затрудняет детектирование. Даже через несколько недель после обнаружения антивирусными компаниями, не все антивирусы детектируют новый вирус. В этом Ransom32 похож на нашумевший шифровальщик CryptoLocker, который заразил миллионы компьютеров.

После заражения системы Ransom32 шифрует файлы данные, используя AES-128. При этом ключ шифрования меняется для каждого файла. После инфицирования жертве дают возможность декодировать один документ бесплатно, за возвращение остальных файлов необходимо платить.

 

1 star2 star3 star4 star5 star (2 голос, среднее: 5,00 из 5)
Загрузка...
Безопасность и баги

 

Комментировать!

Вам понравится

Google устранит в Chrome 70 замечания, связанные с привязкой учётной записи и уд... Компания Google учла недовольство пользователей, связанное с автоподключением к учётной записи и оставлением Cookie Google после применения функции удаления всех Cookie. В выпуске ...
Хромбуки от Google научатся узнавать владельцев в лицо‍... В новой версии операционной системы Chrome OS появилась функция распознавания лица пользователя. Ноутбуки, работающие под управлением Google Chrome OS, теперь, соответственно, можн...
Google Chrome предлагает пользователям удалить антивирусы при сбое... Представители компании Bitdefender заявили об остановке работы защитного решения, предназначенного для отслеживания эксплоитов в браузере Google Chrome. Данная мера была предпринят...
Chrome начал помечать все HTTP-сайты как Not secure Начиная с сегодняшнего дня, Google Chrome будет помечать все HTTP-сайты как небезопасные. Нововведение вступает в силу сразу после выхода Chrome 68. В браузерах пользователи уви...
В новом Chrome защита Spectre использует на 13% больше памяти... Meltdown, Spectre и подобные им критические уязвимости современных центральных процессоров будут иметь негативные последствия для всей компьютерной отрасли ещё долгие годы. Наприме...
Как проверить ПК встроенным антивирусом Chrome... Прежде всего, это совершенно неожиданно для веб-браузера, что в нем нашли тайный антивирусный инструмент несколько месяцев назад. Кроме того, сканирование на вредоносные программы ...