Ransom32 aneb první multiplatformní javascriptový ransomware
Byl detekován první multiplatformní javascript ransomware určený pro Windows, Linux a MacOS X.
Ransom32 je k dispozici jako SaaS v TOR síti a je jednoduše konfigurovatelný. Vektor útoku může být v zásadě jakýkoliv. Jde jen o to, aby uživatel spustil downloader, který následně z internetu stáhne 20MB samorozbalovací WinRAR archiv s vlastním ransomwarem napsaným v NW.js frameworku.
Na skutečnost, že malware bude stále častěji využívat možnosti skriptování, jsem upozorňoval již před několika lety, kdy jsem se věnoval novým hrozbám. Použití NW.js bychom proto měli brát jako celkem logický krok a počítat s tím, že příští verze může mít výrazně menší velikost (70 MB je zbytečně moc).
Ransomware se zkopíruje do “%AppData%\Chrome Browser”, vytvoří svého zástupce ve složce po spuštění „%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ChromeService.lnk“ a pomocí přibaleného TOR klienta naváže komunikaci s C&C serverem ukrytým v TOR síti, od kterého obdrží public RSA klíč. Tím jsou pak šifrovány symetrické AES 128bitové klíče, kterými jsou šifrovány jednotlivé soubory (ano, každý soubor je zašifrován jiným symetrickým klíčem).
Po zašifrování je zobrazena výzva k uhrazení výpalného v BTC a jako vždy se začne odpočítávat čas, po jehož uplynutí se cena výpalného zvyšuje s tím, že pokud oběť nezaplatí do 7 dnů, tak dojde ke smazání klíčů a obnova dat již nebude dále možná. Údajně je možné si nechat jeden soubor dešifrovat jako důkaz, že je útočník schopen zašifrované soubory po zaplacení dešifrovat.
Dle VirusTotal má drtivá většina AV řešení problém s detekcí tohoto ransomware, což je celkem pochopitelné, protože NW.js je naprosto legitimní framework, a jeho přítomnost, stejně jako běžící skript na daném zařízení není tudíž nijak výjimečný. V současné době též není znám způsob jak soubory dešifrovat. Více informací o tomto ransomware najdete zde.
ČERMÁK, Miroslav, 2016. Ransom32 aneb první multiplatformní javascriptový ransomware. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/ransom32-aneb-prvni-multiplatformni-javascriptovy-ransomware/. [citováno 07.12.2024].
Štítky: ransomware
K článku “Ransom32 aneb první multiplatformní javascriptový ransomware” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.