Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Ransomware w JavaScripcie

Rekomendowane odpowiedzi

Pojawiło się pierwsze ransomware napisane całkowicie w JavaScript. W przeszłości co prawda odkryto kod o nazwie Ransom32, który został wykonany za pomocą NodeJS i zapakowany w plik wykonywalny. Nowe ransomware - RAA - jest inne. Nie jest dostarczane w formie pliku wykonywalnego, a jako standardowy plik JavaScript.

Twórcy RAA poradzili sobie z problemem braku zaawansowanych funkcji kryptograficznych w standardowej implementacji JS wykorzystując bibliotekę CryptoJS, dzięki której mogli skorzystać z algorytmu AES do zaszyfrowania plików swoich ofiar.
RAA jest rozpowszechniane jako załącznik do e-maili i udaje plik .doc o nazwach podobnych do mgJaXnwanslS_doc_.js. Po jego otwarciu szkodliwy kod szyfruje pliki na dysku ofiary i domaga się około 250 USD za ich odszyfrowanie. Co więcej rozpakowuje i instaluje na komputerze użytkownika szkodliwy kod o nazwie Pony, który kradnie hasła.

RAA przystępuje do pracy po dwukrotnym kliknięciu na załącznik. Najpierw w folderze %MojeDokumenty% tworzy fałszywy dokument Worda, który jest automatycznie otwierany i wygląda na uszkodzony. Podczas gdy użytkownik sądzi, że załącznik jest uszkodzony, RAA w tle wyszukuje wszystkie nośniki danych i sprawdza, czy użytkownik ma prawa odczytu i zapisu. Jeśli tak, to przystępuje do szyfrowania plików m.in. .doc, .xls, .rtf, .pdf, .jpg, .cdr, .png, .zip czy .csv. Do nazwy zaszyfrowanych plików dodaje rozszerzenie .locked, więc z pliku test.jpg robi test.jpg.locked.

W czasie pracy RAA usuwa też Windows Volume Shadow Copy Service (VSS), by użytkownik nie mógł odzyskać plików z ich kopii wykonywanych przez system. Po zakończeniu szyfrowania szkodliwy kod tworzy na pulpicie plik o nazwie !!!README!!![id].rtf, gdzie [id] to identyfikator konkretnej ofiary. Plik ten, w języku rosyjskim, informuje ofiarę o infekcji i zawiera instrukcję dotyczącą sposobu zapłacenia okupu.

RAA działa poza przeglądarką. Większość użytkowników uruchamia JavaScript wyłącznie w przeglądarce, dlatego nie potrzebuje interpretera, który uruchamiał by go poza nią. Można więc łatwo chronić się przed atakiem RAA i podobnymi wyłączając Windows Script Host. By to uczynić należy uruchomić rejestr Windows i w kluczu HKEY_LOCAL_MACHINESoftwareMicrosoftWindows Script HostSettings dodać wartość DWORD o nazwie Enabled i wartości 0.


« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...