USD 92.26 ЕВРО 99.71

Вложения электронной почты Java Script могут содержать программу-вымогатель

Экономика

Новая программа-вымогатель РАА написана полностью на JavaScript


 
Злоумышленники заражают компьютеры новой программой-вымогателем под названием RAA, которая полностью написана на JavaScript. Она блокирует файлы пользователей с помощью надежного шифрования.
 
Большинство вредоносных программ для Windows написаны на компилируемых языках программирования, таких как C или C++, и имеют форму портативных исполняемых файлов, таких как .exe или .dll. Другие используют скрипты командной строки, такие как .bat файлы Windows или PowerShell.
Нечасто можно увидеть вредоносноге ПО на клиентской стороне, написанное на веб-языке, таком как JavaScript, который предназначен для интерпретации браузерами. Тем не менее, сервер сценариев Windows Script Host, встроенный в Windows, может выполнить .js и другие файлы сценариев.
Злоумышленники прибегли к этой технике в последние месяцы, а в апреле Microsoft предупреждала о всплеске вредоносных вложений электронной почты, содержащих файлы JavaScript. В прошлом месяце исследователи в области безопасности из компании ESET предупреждали о волне спама, который распространяет вымогатель Locky с помощью .js вложений.
В обоих случаях файлы JavaScript были использованы в качестве загрузчиков и установщиков вредоносных программ. В случае RAA, вся программа-вымогатель написана на JavaScript.
По мнению экспертов из техподдержки форума BleepingComputer.com, для осуществления шифрования RAA полагается на CryptoJS, легитимную библиотеку JavaScript. По-видимому используется алгоритм шифрования AES-256.
После шифрования файла, RAA добавляет расширение .locked к первоначальному названию файла. Программа-вымогатель нацелена на следующие типы файлов: .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .LCD, .zip, .rar и .csv.
«На данный момент не существует способа расшифровать файлы бесплатно», написал в своем блоге Лоуренс Абрамс, основатель BleepingComputer.com.
До сих пор зарегистриованы требования выкупа RAA на русском, но даже если на данный момент целями являются только русскоязычные пользователи, скоро программа распространится более широко и будет локализована на других языках.
Это очень необычная ситуация, когда легитимные приложения, написанные на JavaScript, отправляются по электронной почте, так что пользователи должны избегать открытия данного типа файлов, даже если они заключены в zip-архив. Существует немного причин для существования файлов .js вне веб-сайтов и веб-браузеров.