完全用JavaScript写成的勒索软件
作者:星期五, 六月 17, 20160

不要运行JavaScript附件,这可能是勒索软件。

640

攻击者正使用一种被称为RAA的新型勒索软件感染计算机,该软件完全由JavaScript写成,可使用强加密锁住用户的文件

大多数Windows上的恶意软件都是使用C和C++等编译程序语言编写的,它们的出现形式往往是.exe或者.dll这样的可迁移可执行文件。还有一些使用Windows批处理或者PowerShell这样的命令行脚本。

使用JavaScript这样基于Web的语言编写用户端恶意软件并不多见,JavaScript的主要使用场景是浏览器。不过,Windows的一项自带服务Windows Script Host能够在盒子外本地化地执行.js和其它脚本文件

攻击者在过去的几个月里使用了这项技术,而微软在今年四月份已经警告称,包含JavaScript的恶意电子邮件数量大幅增加。上个月,来自ESET的安全研究人员警告了一波通过.js附件传播Locky勒索软件的垃圾邮件。

上面两个例子中,JavaScript文件的功能都是恶意软件下载器:它们被设计用来下载并安装常见的恶意软件程序。对RAA而言,整个勒索软件都是用JavaScript写的。

技术支持论坛BleepingComputer.com上的专家表示,RAA依靠合法的JavaScript库CyptoJS来实现加密功能。加密看上去非常稳定,使用了AES-256算法。

在给文件加密之后,RAA会在其原文件名之后添加一个.locked扩展。这种勒索软件针对的是如下文件类型:.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar and .csv

BleepingComputer.com的创始人Lawrence Abrams在一篇博客中说:“目前还没有办法不花钱解锁这些文件。”

目前用户上报的RAA感染中,勒索软件给出的勒索信息是用俄语写的,但即使该软件目前的目标只有俄语用户,它迟早也会针对更多语言区的人们展开攻击。

一般而言,人们通过电子邮件发送合法JavaScript的情况非常少见,因此用户应当避免打开此类文件,哪怕它是包含在.zip压缩文件里的。如果.js文件不在网站和浏览器环境中出现,那肯定另有原因。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章