Ransomware w JavaScripcie

[KopalniaWiedzy.pl 352]

Pojawiło się pierwsze ransomware napisane całkowicie w JavaScript. W przeszłości co prawda odkryto kod o nazwie Ransom32, który został wykonany za pomocą NodeJS i zapakowany w plik wykonywalny. Nowe ransomware - RAA - jest inne. Nie jest dostarczane w formie pliku wykonywalnego, a jako standardowy plik JavaScript.

Twórcy RAA poradzili sobie z problemem braku zaawansowanych funkcji kryptograficznych w standardowej implementacji JS wykorzystując bibliotekę CryptoJS, dzięki której mogli skorzystać z algorytmu AES do zaszyfrowania plików swoich ofiar.
RAA jest rozpowszechniane jako załącznik do e-maili i udaje plik .doc o nazwach podobnych do mgJaXnwanslS_doc_.js. Po jego otwarciu szkodliwy kod szyfruje pliki na dysku ofiary i domaga się około 250 USD za ich odszyfrowanie. Co więcej rozpakowuje i instaluje na komputerze użytkownika szkodliwy kod o nazwie Pony, który kradnie hasła.

RAA przystępuje do pracy po dwukrotnym kliknięciu na załącznik. Najpierw w folderze %MojeDokumenty% tworzy fałszywy dokument Worda, który jest automatycznie otwierany i wygląda na uszkodzony. Podczas gdy użytkownik sądzi, że załącznik jest uszkodzony, RAA w tle wyszukuje wszystkie nośniki danych i sprawdza, czy użytkownik ma prawa odczytu i zapisu. Jeśli tak, to przystępuje do szyfrowania plików m.in. .doc, .xls, .rtf, .pdf, .jpg, .cdr, .png, .zip czy .csv. Do nazwy zaszyfrowanych plików dodaje rozszerzenie .locked, więc z pliku test.jpg robi test.jpg.locked.

W czasie pracy RAA usuwa też Windows Volume Shadow Copy Service (VSS), by użytkownik nie mógł odzyskać plików z ich kopii wykonywanych przez system. Po zakończeniu szyfrowania szkodliwy kod tworzy na pulpicie plik o nazwie !!!README!!![id].rtf, gdzie [id] to identyfikator konkretnej ofiary. Plik ten, w języku rosyjskim, informuje ofiarę o infekcji i zawiera instrukcję dotyczącą sposobu zapłacenia okupu.

RAA działa poza przeglądarką. Większość użytkowników uruchamia JavaScript wyłącznie w przeglądarce, dlatego nie potrzebuje interpretera, który uruchamiał by go poza nią. Można więc łatwo chronić się przed atakiem RAA i podobnymi wyłączając Windows Script Host. By to uczynić należy uruchomić rejestr Windows i w kluczu HKEY_LOCAL_MACHINESoftwareMicrosoftWindows Script HostSettings dodać wartość DWORD o nazwie Enabled i wartości 0.

« powrót do artykułu