Исследователи из Bleeping Computer обнаружили новый вид вымогательского ПО, написанный 100% на JavaScript. Новый вымогатель получил название RAA.
Ранее исследователи уже наблюдали похожие решения, разработанные на NodeJS, новый вредонос не поставляется на систему в виде исполняемого файла, а является обычным JavaScript-сценарием.
По умолчанию JavaScript не содержит средств шифрования данных, поэтому вирусописатели используют функционал библиотеки CryptoJS для шифрования файлов на системе с помощью алгоритма AES.
В настоящий момент RAA поставляется на систему жертвы через спам-рассылку. Вредонос маскируется под документ Word. Пример названия файла: mgJaXnwanxlS_doc_.js.
После запуска JS сценария, вредонос начинает шифровать файлы на диске. Злоумышленники требуют примерно $250 выкупа за возобновления доступа к файлам.
К зашифрованным файлам добавляется расширение .locked. Вредонос шифрует файлы с расширениями .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv.
Вредонос также устанавливает на систему шпионское ПО Pony, предназначенное для кражи паролей пользователей.
Файлы, ассоциированные с RAA:
%Desktop%\!!!README!!![id].rtf
%MyDocuments%\doc_attached_[random_chars]
%MyDocuments%\st.exe
Ключи реестра, ассоциированные с RAA:
HKCU\RAA\Raa-fnl
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @ = "[path_to_JS_file]"
Источник: www.securitylab.ru