Блог IT для Windows

Все про Windows, программное обеспечение, информационную безопасность, программирование

Обнаружен новый шифровальщик на JavaScript

E-mail Печать PDF
(3 голоса, среднее 5.00 из 5)

Исследователи из Bleeping Computer обнаружили новый вид вымогательского ПО, написанный 100% на JavaScript. Новый вымогатель получил название RAA.

Ранее исследователи уже наблюдали похожие решения, разработанные на NodeJS, новый вредонос не поставляется на систему в виде исполняемого файла, а является обычным JavaScript-сценарием.

По умолчанию JavaScript не содержит средств шифрования данных, поэтому вирусописатели используют функционал библиотеки CryptoJS для шифрования файлов на системе с помощью алгоритма AES.

В настоящий момент RAA поставляется на систему жертвы через спам-рассылку. Вредонос маскируется под документ Word. Пример названия файла: mgJaXnwanxlS_doc_.js.

После запуска JS сценария, вредонос начинает шифровать файлы на диске. Злоумышленники требуют примерно $250 выкупа за возобновления доступа к файлам.

К зашифрованным файлам добавляется расширение .locked. Вредонос шифрует файлы с расширениями .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv.

Вредонос также устанавливает на систему шпионское ПО Pony, предназначенное для кражи паролей пользователей.

Файлы, ассоциированные с RAA:

%Desktop%\!!!README!!![id].rtf
%MyDocuments%\doc_attached_[random_chars]
%MyDocuments%\st.exe

Ключи реестра, ассоциированные с RAA:

HKCU\RAA\Raa-fnl
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @ = "[path_to_JS_file]"

Источник: www.securitylab.ru


 

Добавить комментарий


Защитный код
Обновить

Праздники и история IT

Кто на сайте

Сейчас 50 гостей онлайн

Статистика

Яндекс.Метрика

Экспорт RSS

feed-image RSS

Поиск по сайту

Голосования

Какой операционной системой вы пользуетесь
 
Каким антивирусом вы пользуетесь
 

Мы в Яндекс.Дзен

Блог IT

Мы Вконтакте


Форум программистов и сисадминов Киберфорум