Οι εισβολείς μολύνουν τους υπολογιστές με ένα νέο ransomware πρόγραμμα που ονομάζεται RAA, είναι γραμμένη εξ’ ολοκλήρου σε JavaScript και κλειδώνει τα αρχεία των χρηστών χρησιμοποιώντας ισχυρή κρυπτογράφηση.
Τα περισσότερα προγράμματα malware για τα Windows είναι γραμμένες σε “compiled” γλώσσες προγραμματισμού όπως η C και η C ++ και να λάβει τη μορφή των φορητών εκτελέσιμων αρχείων όπως .exe ή .dll. Άλλοι χρησιμοποιούν “command-line scripting” όπως το Windows batch ή το PowerShell.
Είναι σπάνιο να βλέπουμε από την πλευρά του πελάτη κακόβουλο λογισμικό γραμμένο σε web-based γλώσσες όπως η JavaScript, οι οποίες προορίζονται κυρίως για να ερμηνεύονται από τους browsers. Ωστόσο, ο φορέας υποδοχής των Windows Script, μια υπηρεσία που είναι ενσωματωμένη στα Windows, μπορεί εγγενώς να εκτελέσει .js και άλλα αρχεία scripting έξω από το κουτί.
Οι εισβολείς έχουν χρησιμοποιούν αυτήν ακριβός την τεχνική τους τελευταίους μήνες, με την Microsoft να προειδοποιεί για ένα spike στα κακόβουλα συνημμένα αρχεία ηλεκτρονικού ταχυδρομείου που περιέχουν αρχεία JavaScript. Τον περασμένο μήνα, οι ερευνητές ασφαλείας από την ESET προειδοποίησαν για ένα κύμα spam που διανέμει το ransomware Locky μέσω συνημμένων .js.
Και στις δύο από αυτές τις περιπτώσεις τα αρχεία JavaScript χρησιμοποιήθηκαν ως malware downloaders – τα scripts έχουν σχεδιαστεί για να κατεβάζουν και να εγκαταστήσουν ένα παραδοσιακό malware πρόγραμμα. Στην περίπτωση της RAA, ωστόσο, όλο το ransomware είναι γραμμένο σε JavaScript.
Σύμφωνα με τους εμπειρογνώμονες από το τεχνολογικό forum υποστήριξης BleepingComputer.com, το RAA βασίζεται σε CryptoJS, μια νόμιμη βιβλιοθήκη JavaScript, για να εφαρμόσει την ρουτίνα κρυπτογράφησης του . Η εφαρμογή φαίνεται να είναι ατόφια, χρησιμοποιώντας τον αλγόριθμο κρυπτογράφησης AES-256.
Από τη στιγμή που κρυπτογραφεί ένα αρχείο, το RAA προσθέτει μια κλειδωμένη επέκταση στο αρχικό όνομά του.
Η ransomware στοχεύει τους ακόλουθους τύπους αρχείων: .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar και .csv.
“Μέχρι τώρα δεν υπάρχει κανένας τρόπος για να αποκρυπτογραφήσουν τα αρχεία δωρεάν”
Δήλωσε ο Lawrence Abrams, ο ιδρυτής της BleepingComputer.com, σε ένα blog post.
Οι RAA μολύνσεις αναφέρθηκε μέχρι στιγμής από χρήστες που τρέχουν το συγκεκριμένο αρχείο στα Ρώσικα, αλλά ακόμη και αν η απειλή στοχεύει μόνο ρωσόφωνους χρήστες για τώρα, είναι μόνο θέμα χρόνου μέχρι να διανεμηθεί ευρύτερα και μεταφραστεί και για άλλες γλώσσες.
Είναι ασυνήθιστο για τους ανθρώπους να στέλνουν θεμιτές εφαρμογές γραμμένες σε JavaScript μέσω του ηλεκτρονικού ταχυδρομείου (e-mail), οι χρήστες λοιπόν θα πρέπει να αποφεύγουν να ανοίγουν αυτού του τύπου αρχείων, ακόμη και αν αυτά είναι “κλεισμένα” σε ένα .zip αρχείο.
