Первый вирус-вымогатель на JavaScript Ransom32

Свершилось чудо! Обнаружен первый злостный шифровальщик и вымогатель Биткоинов написанный на Java Script. Да-да, именно на Java Script.
Обозвали новую поганку Ransom32, а нашли в компании Emsisoft.
Интересно то, что процесс установки Ransom32 происходит тупо из самораспаковывающегося архива WinRAR и по сути это приложение написанное на NW.js (Node-WebKit, платформа для разработки приложений на CSS3, HTML5, JS иWebGL) , которое прячется под файл chrome.exe.
Ransomware приложение Ransom32 управляется через The Onion Router (Tor) и использовать его могут все желающие при владении определенными навыками и имеющими кошелек Bitcoin, так же
пользователи вируса имеют возможность следить за поступлениями на кошелек.

Ransom32 заражает файлы, но для начала разрешает дешифровать бесплатно один файлик, после чего придется платить около 0.1 Bitcoin и цена увеличится, если не заплатить в срок, а через некоторое время удалятся ключи для расшифровки файлов жертвы.

Шифрует малварь файлы имеющие рформаты:

*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat

 Ниже окно вируса-вымогателя:

Спасибо Вам, Fabian Wosar из Emsisoft, за полезную информацию, но после этого в России точно запретят Tor (теневой интернет) и Биткоин как неофициальную электронную валюту.
Что же касается Java Script, который раньше то и языком программирования было сложно назвать, то успехи и подъем использования очевиден.

Кстати, антивирусам сложно заметить активность Ransom32.

Как не стать жертвой вымогателя:
Все как обычно- не открываем подозрительные ссылки, ставим программы и расширения в браузер для защиты. А против Ransom32 может помочь резервное копирование значимых данных и файлов.
Принимаем меры для защиты данных компании.

Автор: BOMBERuss

Егор Юрьевич Андреев

Полезная статья? Поделись ей с друзьями. Им будет интересно)))

Дата последнего изменения: