Nový Ransomware RAA je napsaný v JavaScriptu

Nový Ransomware RAA je napsaný v JavaScriptu

RAA se nešíří v příloze pošty jako typicky spustitelný soubor. Přijde vám dokument se skutečnou příponou .JS, kterou Windows spouští přes vestavěný Windows Scripting Host.

Za nalezení a analýzu můžete poděkovat Benkow a JamesWT

Díky knihovně CryptoJS dokáže přes AES zašifrovat obsah disku. Po otevření zdánlivého dokumentu sice oznámí chybu, na pozadí ale začne procházet všechny disky s povoleným zápisem a šifrovat soubory s příponami .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv

Smaže také systémové verzování souborů, aby se nedaly obnovit po zašifrování.

Navíc také do systému nainstaluje Pony Stealer, který krade hesla a zařadí PC do botnetu. Spustitelný kód tohoto programu je součástí spouštěného scriptu a nemusí se stahovat z internetu.

Klepněte pro větší obrázek
Pokud uvidíte tento dokument, okamžitě vypněte počítač, na pozadí se vám už šifruje

RAA po obětech žádá zaplacení 250 dolarů v Bitconech do týdne od nákazy, jinak klíč k obnově dat smaže. Veškerá komunikace probíhá v ruštině, což naznačuje hlavní cílovou skupinu pro tento program.

Samotný záškodnický program se tedy chová velmi podobně jako tradiční Ransomware. Zajímavý je zejména využitím JScriptu (JavaScript od Microsoftu), který může případnými filtry e-mailové komuniace procházet snadněji než obyčejný spustitelný soubor s příponou EXE.

Zdroj: BleepingComputer

Témata článku: Bezpečnost, Ransomware, Java, Javascript, Pony, Twitter.com, Spustitelný soubor

12 komentářů

Nejnovější komentáře

  • Jiří Šmach 20. 6. 2016 20:47:21
    jsem v klidu, *.odt a *.ods to neprzní a zřejmě to neudělá problém jinde...
  • O8R7RAN 20. 6. 2016 20:16:48
    I když ten virus je v ruštině, určitě není z Ruska. Správný ruský virus...
  • Martin Maly 20. 6. 2016 20:15:37
    V dnešní době by se měl browser pouštět defaultně jen izolovaně v...
Určitě si přečtěte

USB zařízení je možné odposlouchávat ze sousedního portu

USB zařízení je možné odposlouchávat ze sousedního portu

** Crosstalk byl dřív problém paralelních portů, dnes se ho pokusili prověřit na USB ** Zařízení ze sousedního USB portu může odposlouchávat to vedlejší ** Mohou vznikat záškodnické flašky nebo třeba USB lampičky

14.  8.  2017 | Adam Harmada | 19

Jak převést PDF do Wordu: 3 způsoby, které můžete použít

Jak převést PDF do Wordu: 3 způsoby, které můžete použít

** Využít můžete přímo Word v rámci balíčku Office ** Zdarma lze využít Google Dokumenty, neporadí si ale s formátováním ** Obrátit se také můžete na specializované stránky

11.  8.  2017 | Vladislav Kluska | 9

Co je realita a fikce? Brzy to nepoznáme. A.I. ze Stanfordu tvoří fotky z neexistujících měst

Co je realita a fikce? Brzy to nepoznáme. A.I. ze Stanfordu tvoří fotky z neexistujících měst

** Fotografii každý vnímá jako jednoznačný důkaz ** časem to ale přestane platit ** Strojové učení se totiž neustále zdokonaluje

16.  8.  2017 | Jakub Čížek | 11

Zrušený evropský roaming je brutální vražda virtuálních operátorů

Zrušený evropský roaming je brutální vražda virtuálních operátorů

** Když EU rušila roaming, šla přes mrtvoly ** Tou největší jsou virtuální operátoři ** Vlastně je překvapivé, že už nepadají jeden po druhém

12.  8.  2017 | Filip Kůžel | 85


Aktuální číslo časopisu Computer

Velký test NVMe a SATA SSD

Máte slabý signál
Wi-Fi? Poradíme!

Jak umělá inteligence opravuje fotky

Kupujete dron? Ty levné se nevyplatí