Созданное с помощью фреймворка NW.js вредоносное ПО Ransom32 позволяет зашифровать пользовательские файлы.
Специалисты Emsisoft обнаружили новый вид вымогательского ПО, работающего на основе JavaScript. Об этом сообщается в блоге компании. Вредонос Ransom32 позволяет заблокировать работу системы и зашифровать персональные данные пользователей. Для восстановления доступа к информации жертва должна выплатить вымогателям выкуп в Bitcoin.
На первый взгляд Ransom32 практически не отличается от другого вымогательского ПО. Использовать вредонос для вымогательства может любой злоумышленник, имеющий Bitcoin-кошелек. Для обработки данных о регистрациях используется скрытый сервер в анонимной сети Tor.
Введя адрес Bitcoin-кошелька, злоумышленник получит доступ к административному интерфейсу. На специальной странице преступник может настроить параметры вымогательского ПО – например, отображаемые вредоносом сообщения, тип шифруемых файлов и сумму выкупа.
Вредонос поставляется в качестве самораспаковывающегося архива WinRAR размером в 22 Мб. При запуске содержимое архива копируется в папку с временными файлами пользователя и происходит открытие вредоноса.
Вымогательское ПО использует для запуска фреймворк NW.js, позволяющий создавать десктопные приложения с помощью JavaScript и HTML. Вредонос пытается имитировать браузер Chrome – исполняемый файл выглядит как почти идеальная копия интернет-обозревателя.
При запуске вымогательское ПО прописывается в автозагрузке и запускает встроенный клиент Tor. Впоследствие Ransom32 соединяется с C&C-сервером по порту 85, шифрует файлы пользователя и отображает сообщение о необходимости выплаты выкупа. Вредонос шифрует файлы со следующими расширениями: *.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat.
В качестве алгоритма шифрования используется AES с 128-битным ключом в режиме CTR. Для каждого файла используется отдельный ключ.
Node-WebKit (NW.js) — комбинация Node.js и встроенного браузера WebKit. Код JavaScript выполняется в особом окружении, из которого есть доступ к стандартному API браузеров и к Node.js.
Одно найти легче, чем другое. Спойлер: это не темная материя