Ny ransomware på markedet: Benytter javascript og tilbydes som brugervenlig tjeneste til kriminelle

Malwaren Ransom32 benytter javascript, hvilket ifølge sikkerhedsekspert fra anti-virus-firmaet Emisoft, ikke er set tidligere

Malwaren Ransom32, der debuterede i løbet af juledagene, adskiller sig fra tidligere udgaver af ransomware på to punkter. For det første benytter Ransom32 sig af javascript, for det andet tilbydes den som brugervenlig tjeneste til kriminelle datakidnappere. Det skriver websiden Ars Techninca.

I et blogindlæg bekriver Emisoft tekniske direktør, Fabian Wosar, Ransom32’s Tor-baserede administrative Web-brugerflade. En brugerflade hvor den potentielle kidnapper logger på med sin bitcoin-konto, og så kan konfigurere malware-klienten i forhold til, hvilken besked den skal vise på ofrenes computere, hvad løsesummen skal være med videre. Inden kidnapperen downloader klienten for at kunne sende den videre til sine ofre.

Kidnapperen kan også holde øje med indkommen løsesum via Web-brugerfladen, og skal blot være opmærksom på, at bagmændene bag Ramsom32 tager 25 procent af de indkomne beløb som betaling for deres ’service’.

Malware baseret på NW.js-frameworket

Fabian Wosar har kigget nærmere på den 22 megabyte Ransom32-fil, som kidnapperne modtager efter endt konfiguration. En fil, der umiddelbart ligner en installationsfil af webbrowseren Chrome, men i virkeligheden er en WinRaR-fil, som indeholder en række elementer heriblandt selve malwaren, der er baseret på NW.js-frameworket.

Folkene bag Ransom32 benytter således JavaScript til at skabe deres malware, som i første omgang er rettet mod brugere af Windows. Ifølge Fabian Wosar, skulle Ransom32 være meget nem at tilpasse til brug på både Linux og Mac OS, men han har endnu ikke set eksempler på, at det skulle være sket.

Når Ransom32 finder frem til og afvikles på offerets computer, pakkes filerne først ud i en midlertidig mappe og kopieres herefter til %AppData%\Chrome Browser. Der oprettes en genvej i windows startmenu, som sikrer at malwaren køres hver gang computeren starter. Ransom32 etablerer herefter via den indlejrede Tor-browser forbindelse til en server for at verificere den tilknyttede Bitcoin-konto og hente den krypteringsnøgle, som computerens filer herefter krypteres med mens kravet om løsesum dukker op på skærmen.

Fabian Wosar fortæller i et interview med websiden Softpedia, at han regner med, at vi endnu ikke har set hvilket omfang Ransom32 vil få, da malwaren blev distribueret i juledagene, hvor de færreste tjekker deres arbejdsmail.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (1)

Log ind eller opret en konto for at skrive kommentarer