JavaScript-вымогатель как услуга
Новости Безопасность
В первые дни нового года исследователи опубликовали результаты анализа нового RaaS-сервиса (ransomware-as-a-service, вымогатель как услуга), предметом которого является криптоблокер, созданный с использованием JavaScript-технологий, сообщает «Лаборатория Касперского». Ransom32 предлагается для скачивания с веб-сервера, скрытого в сети Tor; подписчику нужно лишь указать Bitcoin-адрес для получения доходов от вымогательства.
Данный зловред создан с помощью легитимной платформы NW.js; он способен отыскивать и шифровать десятки типов файлов и требует выкуп в криптовалюте. При этом создатели Ransom32 получают 25% комиссионных с каждой транзакции.
Подписчику RaaS-сервиса также предоставляется административный интерфейс, позволяющий кастомизировать сообщения, отображаемые жертве заражения, определять сумму выкупа, блокировать экран на зараженном компьютере, снижать нагрузку на ЦП в процессе шифрования и задавать время ожидания. Здесь же можно вести статистику: отслеживать общее количество установок, число плательщиков и сумму доходов в биткойнах.
Первые сообщения о Ransom32 появились на форумах BleepingComputer; впоследствии один из сэмплов был подвергнут анализу в Emsisoft. По свидетельству исследователя Фабиана Восара (Fabian Wosar), размер скачанного для исследования файла оказался большим (22 Мбайт), что необычно для криптоблокера. Зловред был выполнен как WinRAR-архив, содержащий несколько файлов, в том числе исполняемый Chromium-файл, замаскированный под браузер Chrome. На самом деле он представляет собой приложение NW.js, содержащее как вредоносный код, так и среду его исполнения.
На настоящий момент Ransom32, по свидетельству Emsisoft, атакует лишь Windows-системы, однако с некоторыми модификациями может превратиться в кросс-платформенную угрозу.
По поведению новый блокер схож с другими зловредами этого класса. В его комплект входит клиент Tor, который Ransom32 использует для связи с C&C-сервером и кошельком Bitcoin, собирающим платежи жертв вымогательства. Это же соединение используется для обмена криптоключами.
«RaaS-сервис Ransom32 особо опасен из-за JavaScript и HTML — кросс-платформенных технологий, работающих на Mac и Linux так же, как на Windows, — предупреждает Лоуренс Абрамс (Lawrence Abrams) из BleepingComputer. — А значит, привнеся небольшие изменения, разработчики Ransom32 могут с легкостью сформировать NW.js-пакеты для Linux и Mac. Признаков такой трансформации пока нет, но особого труда она не потребует. Появление вымогательского ПО для отличных от Windows систем неизбежно. Использование платформы вроде NW.js лишь ускоряет этот процесс».
11.06.2025 18:50
Яндекс начал продажи умной IP-камеры
Яндекс открыл продажи умной IP-камеры для домашнего видеонаблюдения, с помощью которой удобно присматривать за квартирой или дачей
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
|
|
Все рубрики статей (2473 / 227):
|
|
