Обнаружен первый вирус-шифровальщик, созданный на JavaScript

Фабиан Восар (специалист компании Emsisoft) сообщил о выявлении нового типа вируса-вымогателя. Вирус получила название Ransom32, для его создания использовалась платформа NW.js (ранее известна как Node-WebKit).

4.bp_.blogspot.com-4FhAyb940vYVophDp-OIWIAAAAAAAAmEE3U_-37rV8hos1600javascript-ransomware-malware-43bbc334211b5ae18ddd0f460c28821ac34cc508

NW.js – кроссплатформенный фреймворк, позволяющий создавать программы при помощи популярных веб-технологий, включая JavaScript, HTML и CSS. Основана платформа на Node.js и Chromium и функционирует в обход песочницы JavaScript.

Восар отметил, что NW.js позволяет гораздо глубже взаимодействует с компонентами операционной системы. В этом случае JavaScript способен работать как полноценные языки программирования (например, Delphi и C++).

Специалист также подчеркнул, что Ransom32 первый в мире вирус-вымогатель, созданный на базе JavaScript. Восар также выяснил, что создатели вредоносной программы продают созданное ПО как сервис (данная схема набирает популярность среди авторов вымогателей). За использование Ransom32 авторы берут почти 25% от заработанного.

ransom32_message-730x456

Чтобы начать использовать новый вирус, достаточно иметь биткоин кошелек. Клиент получает доступ к простой панели управления. Для авторизации используется Tor hidden service, также необходимо ввести адрес кошелька, на который пострадавшие будут переводить средства. После этого вредоносная программа практически готова к работе. Статистика демонстрируется также через панель управления.

Распространяется Ransom32 в архиве WinRAR (самораспаковывающийся), для распаковки и инсталляции используются команды SFX script.

Основной программный код содержится в исполняемом файле chrome.exe. В процессе заражения утилита использует легитимные инструменты NW.js, что затрудняет детектирование. Даже через несколько недель после обнаружения антивирусными компаниями, не все антивирусы детектируют новый вирус. В этом Ransom32 похож на нашумевший шифровальщик CryptoLocker, который заразил миллионы компьютеров.

После заражения системы Ransom32 шифрует файлы данные, используя AES-128. При этом ключ шифрования меняется для каждого файла. После инфицирования жертве дают возможность декодировать один документ бесплатно, за возвращение остальных файлов необходимо платить.

 

1 star2 star3 star4 star5 star (2 голос, среднее: 5,00 из 5)
Загрузка...
Безопасность и баги

 

Комментировать!

Вам понравится

Google запускает reCAPTCHA 3 без необходимости ввода... Google представила новую версию системы защиты веб-сайтов от ботов под названием reCAPTCHA 3. Этот вариант системы не требует от пользователя совершать какие-либо действия, чтобы п...
Microsoft и Google обнаружили уязвимость в процессорах Intel... Представители Microsoft и Google сообщили об обнаружении уязвимости в процессорах Intel. Ее исправление потребует загрузки обновления микрокода чипов, что может привести к замедлен...
В Chrome изменится индикация безопасных соединений... Компания Google сообщила о готовящихся в осенних выпусках Chrome изменениях индикации безопасности соединения. Так как общей целью является повсеместный переход на HTTPS, а начиная...
Chrome начал блокировать звук в видео, изучая поведение пользователей... Никто не любит, когда при входе на сайт включается видео со звуком. Последние несколько лет Google и другие разработчики браузеров борются с этим, но в большинстве случаев пользова...
Обновление Windows 10 April 2018 Update убивает Chrome В апреле 2018 года выпуск обновления для Windows 10 тепло приветствовали многие люди, но кажется, что у него есть некоторые проблемы. Они возникли у определенных пользователей, кот...
Google Chrome уличили в тайном сканировании файлов... Эксперт в области кибербезопасности Келли Шортридж (Kelly Shortridge) заметила, что браузер от Google постоянно сканирует почти все файлы на компьютерах под управлением Windows. Об...