Joomla-Template by go-android.de & android forum
 
   
 
     
 
 

Авторизация



Кто на сайте

Сейчас 39 гостей онлайн

Заказать ддос атаку

Обнаружена первая вымогательская малварь, основанная на JavaScript

Специалист компании Emsisoft Фабиан Восар (Fabian Wosar) рассказал об обнаружении нового типа вымогательского ПО. Вредонос, получивший имя Ransom32, построен на платформе NW.js , ранее известной как Node-WebKit. NW.js (ранее Node-WebKit) — мощный кроссплатформенный фреймворк, который позволяет создавать приложения с использованием таких популярных веб-технологий, как HTML, CSS и JavaScript. Платформа основана на Chromium и Node.js и работает в обход обычной песочницы JavaScript.

«NW.js позволяет получить гораздо больше контроля и глубже взаимодействует с операционной системой. Здесь JavaScript может делать всё то же самое, что и «нормальные» языки программирования, такие как C++ или Delphi», — пишет Восар.

Согласно данным Восара, Ransom32 – первая в мире вымогательская малварь, построенная на базе JavaScript. Исследователь установил, что авторы вредоноса продают свою разработку как сервис. Сейчас это настоящий тренд в мире киберкриминала: аналогичным образом поступают авторы вымогателей Radamant, Fakben и Tox. За использование своей малвари создатели Ransom32 просят около 25% от всех полученных выкупов.

Клиентам хакеров предоставляется доступ к простенькой панели управления. Достаточно авторизоваться с использованием Tor hidden service и задать адрес кошелька, на который жертвы будут переводить выкуп. На этом «конфигурирование» фактически закончено, и малварь готова к работе. В панели управления можно отслеживать статистику вредоносной кампании и изменить настройки вредоноса.

Ransom32 занимает 22 Мб, что значительно больше обычного – вымогательский софт редко «весит» больше 1 Мб. Однако Восар пишет, что 22 Мб – много только на первый взгляд. В реальности скачивание займет пару секунд, и вряд ли кто-то обратит на него внимание.

Ransom32 хранится в самораспаковывающемся архиве WinRAR, который использует команды SFX script для распаковки компонентов и установки вредоноса. Основной код малвари содержится в файле chrome.exe. Хотя с виду файл похож на исполняемый файл браузера Chrome, на деле это приложение, использующее NW.js.

В работе малварь опирается на легитимные компоненты NW.js, что серьезно затрудняет ее обнаружение. Вредонос до сих пор обнаруживают далеко не все антивирусы, хотя впервые Ransom32 заметили более двух недель назад. В этом Ransom32 очень похож на известный шифровальщик CryptoLocker, от которого пострадали миллионы пользователей.

Пока Ransom32 атакует только пользователей Windows, преимущественно распространяясь через почтовый спам. Но NW.js-приложения могут работать на различных платформах, а значит, не исключено, что злоумышленники в скором времени представят версии для Linux и Mac OS X.

Успешно заразив систему, Ransom32 зашифровывает данные, используя AES-128 и создавая новый ключ для каждого файла. Под прицел шифровальщика попадают файлы изображений, баз данных, документов, медиафайлы, а также исходные коды.

После заражения жертве позволяют расшифровать один файл бесплатно, а за остальное придется платить. В среднем хакеры требуют за восстановление данных 0.1 биткоина ($45). Эта сумма возрастает до 1 биткоина ($450), если выкуп не был оплачен в течение четырех дней. Также в сообщении с требованием выкупа сказано, что если жертва не заплатит, все ключи дешифровки будут окончательно уничтожены через неделю.

 
Понравилась статья? Поделись ей с друзьми.

Добавить комментарий


Защитный код
Обновить

Блокировка Сайта

Взлом почты.

Взлом почты на заказ

Поиск по сайту

Loading
 
 

 
 
     
 
   

Рейтинг@Mail.ru

Рейтинг@Mail.ruЯндекс.МетрикаСчетчик тИЦ и PR