Ny ransomware på markedet: Benytter javascript og tilbydes som brugervenlig tjeneste til kriminelle

Malwaren Ransom32 benytter javascript, hvilket ifølge sikkerhedsekspert fra anti-virus-firmaet Emisoft, ikke er set tidligere

Malwaren Ransom32, der debuterede i løbet af juledagene, adskiller sig fra tidligere udgaver af ransomware på to punkter. For det første benytter Ransom32 sig af javascript, for det andet tilbydes den som brugervenlig tjeneste til kriminelle datakidnappere. Det skriver websiden Ars Techninca.

I et blogindlæg bekriver Emisoft tekniske direktør, Fabian Wosar, Ransom32’s Tor-baserede administrative Web-brugerflade. En brugerflade hvor den potentielle kidnapper logger på med sin bitcoin-konto, og så kan konfigurere malware-klienten i forhold til, hvilken besked den skal vise på ofrenes computere, hvad løsesummen skal være med videre. Inden kidnapperen downloader klienten for at kunne sende den videre til sine ofre.

Kidnapperen kan også holde øje med indkommen løsesum via Web-brugerfladen, og skal blot være opmærksom på, at bagmændene bag Ramsom32 tager 25 procent af de indkomne beløb som betaling for deres ’service’.

Malware baseret på NW.js-frameworket

Fabian Wosar har kigget nærmere på den 22 megabyte Ransom32-fil, som kidnapperne modtager efter endt konfiguration. En fil, der umiddelbart ligner en installationsfil af webbrowseren Chrome, men i virkeligheden er en WinRaR-fil, som indeholder en række elementer heriblandt selve malwaren, der er baseret på NW.js-frameworket.

Folkene bag Ransom32 benytter således JavaScript til at skabe deres malware, som i første omgang er rettet mod brugere af Windows. Ifølge Fabian Wosar, skulle Ransom32 være meget nem at tilpasse til brug på både Linux og Mac OS, men han har endnu ikke set eksempler på, at det skulle være sket.

Når Ransom32 finder frem til og afvikles på offerets computer, pakkes filerne først ud i en midlertidig mappe og kopieres herefter til %AppData%\Chrome Browser. Der oprettes en genvej i windows startmenu, som sikrer at malwaren køres hver gang computeren starter. Ransom32 etablerer herefter via den indlejrede Tor-browser forbindelse til en server for at verificere den tilknyttede Bitcoin-konto og hente den krypteringsnøgle, som computerens filer herefter krypteres med mens kravet om løsesum dukker op på skærmen.

Fabian Wosar fortæller i et interview med websiden Softpedia, at han regner med, at vi endnu ikke har set hvilket omfang Ransom32 vil få, da malwaren blev distribueret i juledagene, hvor de færreste tjekker deres arbejdsmail.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017