Блог IT для Windows

Все про Windows, программное обеспечение, информационную безопасность, программирование

Обнаружен новый шифровальщик на JavaScript

E-mail Печать PDF
(2 голоса, среднее 5.00 из 5)

Исследователи из Bleeping Computer обнаружили новый вид вымогательского ПО, написанный 100% на JavaScript. Новый вымогатель получил название RAA.

Ранее исследователи уже наблюдали похожие решения, разработанные на NodeJS, новый вредонос не поставляется на систему в виде исполняемого файла, а является обычным JavaScript-сценарием.

По умолчанию JavaScript не содержит средств шифрования данных, поэтому вирусописатели используют функционал библиотеки CryptoJS для шифрования файлов на системе с помощью алгоритма AES.

В настоящий момент RAA поставляется на систему жертвы через спам-рассылку. Вредонос маскируется под документ Word. Пример названия файла: mgJaXnwanxlS_doc_.js.

После запуска JS сценария, вредонос начинает шифровать файлы на диске. Злоумышленники требуют примерно $250 выкупа за возобновления доступа к файлам.

К зашифрованным файлам добавляется расширение .locked. Вредонос шифрует файлы с расширениями .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv.

Вредонос также устанавливает на систему шпионское ПО Pony, предназначенное для кражи паролей пользователей.

Файлы, ассоциированные с RAA:

%Desktop%\!!!README!!![id].rtf
%MyDocuments%\doc_attached_[random_chars]
%MyDocuments%\st.exe

Ключи реестра, ассоциированные с RAA:

HKCU\RAA\Raa-fnl
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @ = "[path_to_JS_file]"

Источник: www.securitylab.ru


 

Добавить комментарий


Защитный код
Обновить

Всё для сисадмина

Праздники и история IT

Кто на сайте

Сейчас 57 гостей онлайн

Экспорт RSS

feed-image RSS

Статистика

Яндекс.Метрика

Поиск по сайту

Голосования

Какой операционной системой вы пользуетесь
 
Каким антивирусом вы пользуетесь
 

Мы в Яндекс.Дзен

Блог IT

Мы Вконтакте


Форум программистов и сисадминов Киберфорум