Nový rok nám přináší nový typ ransomware s názvem Ransom32 . To by nebylo, že pozoruhodné, ne-li pro jednu věc: Ransom32 je první svého druhu, protože je založen na Javascript. Škodlivý program používá platformu NW.js, což z něj dělá ransomware s křížovým OS. Zatím má pouze cílené operační systémy Windows, nicméně, to může snadno změnit jako NW.js rámec umožňuje, aby byl napsán pro Mac OS X a Linux. Tento rámec je také zodpovědný za udělení ransomware s větší kontrolou nad postiženým systémem a povolení JavaScriptu fungovat téměř stejným způsobem jako takové programovací jazyky jako C ++ a Delphi. First JavaScript-based ransomware

Dalším problémem se škodlivou aplikací je, že se prodává jako služba. Ransom32 lze stáhnout z podzemních tor webových stránek každý, kdo má bitcoinovou adresu. Takzvaný kupující nemusí platit nic za spustitelný soubor, ale vývojáři ransomware berou 25% snížení všech plateb výkupného, které jsou odeslány na bitcoinovou adresu kupujícího. Jakmile se uživatel zaregistruje k malwaru, zobrazí se mu affiliate konzole, která zobrazuje statistiky distribuční kampaně včetně instalací, lockscreens, paids a paid BTC. Konzole také obsahuje část konfigurace nastavení, kde affiliate může nastavit množství Bitcoins, které mají být požádáni od uživatelů počítačů, zvolte, zda infikovaného počítače by měly být uzamčeny, a tak dále. Jakmile affiliate stáhne vlastní verzi parazita, může začít jeho distribuci.

Proces šifrování začíná brzy poté, co hrozba pronikne do počítačového systému. Škodlivý soubor vstoupí do systému ve formě souboru RAR o velikosti 22 MB, který se sám extrahuje a přidá několik souborů do složky C:UsersUserAppDataRoaming Chrome Browser. Vytvoří také zástupce ve spouštěcí složce s názvem Chrome Služba, která umožňuje, aby se ransomware automaticky spustil pokaždé, když uživatel zapne počítač. Zástupce sám je propojen se chrome souborem EXE, což je ve skutečnosti balíček NW.js obsahující kód Javascript, který šifruje soubory uložené v počítači. Mezi typy souborů, které mohou být ovlivněny šifrováním, patří .jpg, .docx, .pdf, .xls, .pptx, .mp4, .avi, .3gp, .asf, .mpeg, .wma, .dat a mnoho dalších.

Jakmile je malware hotov s šifrováním, zobrazí se na ploše zpráva. Tato zpráva informuje uživatele, že jeho data byla zašifrována a že aby je získal zpět, musí zakoupit soukromý dešifrovací klíč. Uživateli je dána 4 denní lhůta před zvýšením částky platby a 7denní lhůta před zničením klíče. Výchozí jazyk zprávy je angličtina, ale může být prezentována také ve španělštině. Obrazovka také nabízí možnost dešifrování jednoho souboru zdarma, aby se prokázalo, že soubory mohou být skutečně obnoveny.

Bohužel v tuto chvíli neexistují žádné možné možnosti dešifrování souborů jakýmkoli alternativním způsobem, kromě jejich obnovení ze zálohy. To je důvod, proč je tak důležité mít záložní kopie vašich nejdůležitějších dat. Také vás vyzýváme, abyste byli opatrnější online, zejména při stahování souborů do počítače, a abyste měli vždy nainstalován a aktualizován výkonný nástroj pro prevenci a odstraňování malwaru.

Napsat komentář