Блог IT для Windows

Всё для Windows, софт, исходники

Обнаружен первый в мире шифровальщик на JavaScript

E-mail Печать PDF
(0 голоса, среднее 0 из 5)

Созданное с помощью фреймворка NW.js вредоносное ПО Ransom32 позволяет зашифровать пользовательские файлы.

Специалисты Emsisoft обнаружили новый вид вымогательского ПО, работающего на основе JavaScript. Об этом сообщается в блоге компании. Вредонос Ransom32 позволяет заблокировать работу системы и зашифровать персональные данные пользователей. Для восстановления доступа к информации жертва должна выплатить вымогателям выкуп через Bitcoin.

На первый взгляд Ransom32 практически не отличается от другого вымогательского ПО. Использовать вредонос для вымогательства может любой злоумышленник, имеющий Bitcoin-кошелек. Для обработки данных о регистрациях используется скрытый сервер в анонимной сети Tor.

Введя адрес Bitcoin-кошелька, злоумышленник получит доступ к административному интерфейсу. На специальной странице преступник может настроить параметры вымогательского ПО – например, отображаемые вредоносом сообщения, тип шифруемых файлов и сумму выкупа.

Вредонос поставляется в качестве самораспаковывающегося архива WinRAR размером в 22 Мб. При запуске содержимое архива копируется в папку с временными файлами пользователя и происходит открытие вредоноса.

Вымогательское ПО использует для запуска фреймворк NW.js, позволяющий создавать десктопные приложения с помощью JavaScript и HTML. Вредонос пытается имитировать браузер Chrome – исполняемый файл выглядит как почти идеальная копия интернет-обозревателя.

При запуске вымогательское ПО прописывается в автозагрузке и запускает встроенный клиент Tor. Впоследствие Ransom32 соединяется с C&C-сервером по порту 85, шифрует файлы пользователя и отображает сообщение о необходимости выплаты выкупа. Вредонос шифрует файлы со следующими расширениями: *.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat.

В качестве алгоритма шифрования используется AES с 128-битным ключом в режиме CTR. Для каждого файла используется отдельный ключ.

Node-WebKit (NW.js) — комбинация Node.js и встроенного браузера WebKit. Код JavaScript выполняется в особом окружении, из которого есть доступ к стандартному API браузеров и к Node.js.

Источник: www.securitylab.ru

 

Добавить комментарий


Защитный код
Обновить

Экспорт RSS

feed-image RSS

Праздники и история IT

Кто на сайте

Сейчас 126 гостей онлайн

Статистика

Яндекс.Метрика
Анализ веб сайтов

Поиск


Голосования

Какой операционной системой вы пользуетесь
 

Наш опрос

Каким браузером вы пользуетесь
 
Каким антивирусом вы пользуетесь