Ny type JavaScriptbaseret ransomware opdaget

Som en anderledes variant fremtræder ’RAA’ ransomware ikke som en eksekverbar fil, men blot som et .js script.

RAA ransomware florerer i øjeblikket i russiske mails, hvor virussen skal ligne et word dokument. For den uheldige hurtigt-klikkende mailtjekker vil det resultere i at dine adgangskoder bliver stjålet, samtidig med at du modtager en opkrævning på cirka 1700 kr. for at få låst dine filer op igen.

Malwaren er foreløbigt kun blevet observeret i Rusland og indeholder både det klassiske adgangskodestjælende ’Pony’, og deres egen variant af JavaScript basereret ransomware, hvor de anvender CryptoJS biblioteket for at kryptere offerets harddisk efter AES standarden.

BleepingComputer har lavet en detaljeret beskrivelse af RAA. Scriptet udvælger alle filer med udvalgte efternavne og undlader at kryptere filer i bl.a. programstien og Windows stien. Ved hver systemstart bliver eventuelle nye filer også krypteret.

I en .rtf fil får den uheldige computerbruger en pædagogisk beskrivelse af det forventede forløb omkring den digitale afpresning. Ved at sende en mail til hackerne er det muligt at få ’proof of life’ for sine filer, ved at de dekrypterer et par enkelte ting. Man har en uge til at betale de 1700 kr.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Carsten Olsen

Skift til et styrersystem hvor en bruger ikke kan kører filer fra mails som default.

Hvorfor har MS ikke forlængst lavet et controlpanel hvor den IT-ansv kan slå alle funktioner fra som brugerne ikke har brug for. Har brugeren brug for at kører en file de får i en mail ? svar: NEJ . Har brugeren brug for at kører et .js script der ikke kommer fra / er godkendt af IT-afd ? svar: NEJ.

  • 3
  • 7
#3 Morten Hansen

Der bliver godt nok skudt med den helt store kanon i kommentarerne. Der er tale om lokaltafviklet javascript, ikke noget der køres fra en browser. Derudover er da tonsvis af brugere som har behov for at åbne filer fra en email, og malwaren vil forventeligt også virke hvis du er nødt til at gemme filen først, og SÅ åbne den. Man kunne uden tvivl lave noget tilsvarende til "de mere sikre styresystemer", når først brugeren kører et stykke vilkårlig kode så er du underlagt afsenderens magt, hvad end det er Linux eller Windows eller noget tredje.

  • 3
  • 3
#4 Ivo Santos

Det er vel fordi at stort set alle email programmer understøtter både html og javascript, for når det kommer til stykket så virker det vel også på en linux boks eller en mac eller indsæt selv en anden OS type.

Jeg har ikke nogen problemer med at emails er i html format, med som standard burde email programmerne ikke indeholde en javascript komponent, altså bør det ikke være muligt at eksekverer javascript, det samme burde vel også gælde for web baserede email sider.

  • 3
  • 0
#5 Jesper Lund Stocholm Blogger

Man kunne uden tvivl lave noget tilsvarende til "de mere sikre styresystemer", når først brugeren kører et stykke vilkårlig kode så er du underlagt afsenderens magt, hvad end det er Linux eller Windows eller noget tredje.

Men forskellen er vel, at på Windows er .js-filer associeret med "Windows Script Host" som standard, og derfor bliver en .js-fil eksekveret, når nogen åbner den.

Det er mig bekendt ikke tilfældet på andre platforme.

  • 2
  • 0
#6 Morten Hansen

Klart klart, men min point var at får du først en person til at afvikle en stump kode lokalt på maskinen, hvad end det er en javascript fil eller en form for eksekverbar fil så er det jo gameover for pågældendes maskine.

  • 1
  • 0
#7 Carsten Olsen

Der er tale om lokaltafviklet javascript, ikke noget der køres fra en browser.

Ja jeg har aldrig påstået andet.Jeg har ikke nævnt noget om hvis det kører i en browser. Men for lige at udpensle det: Hvis du skal kører noget Web-JS på en Windows maskine så gør i en Chrome browser og Chrome browseren tager sig af sikkerheden.

åbne filer fra en email

Du forstår ikke at der forkel på: 1.- at åbne en (data) fil. 2. - kører et program. Brugeren har brug for at åbne en .doc file de får i en mail. Det kan de så gøre rimeligt sikker med word.exe programmet. (hvis der ikke er macroer i) Brugeren har IKKE brug for at kører et program de får i en mail.

gemme filen først, og SÅ åbne den.

Hvorfor bringer du det ind i billedet ? Det er total irrelevant om du har gemt filen inden du kører den. Pointen er at man ikke skal starte noget-som-helst fremmed code uden at vide hvad der i coden. (Chrome tester code inden den kører det og derefter køres det i en sandbox, så intet kan slippe ud og f.eks. forurene word.exe filen)

når først brugeren kører et stykke vilkårlig kode så

Ja fuldstændigt korrekt. For at udpensle det: Når først brugeren kører et stykke vilkårligt code på Linux så er det for sent. Meeen.. hele min pointe er jo at du på en linux maskine ikke bare kører noget code (det er meget svært at kører vilkårligt code).På windows skal alt værer nemt og derfor får allemulige brugere lov til at kører allemulige programmer (malware) der overskriver vitale dele af styrersystemet. Nogen brugere kender ikke engang forskel på at åbne en data-file og kører et program. (her hjælper ingen kære virus-scanner)

  • 1
  • 2
#9 Carsten Olsen

Men forskellen er vel, at på Windows er .js-filer associeret med "Windows Script Host" som standard, og derfor bliver en .js-fil eksekveret, når nogen åbner den.

Ja Jesper korrekt. Og min pointe var så at Microsoft skulle lave et controlpanel på "Windows Script Host" som forhindrer en bruger i at kører file uden x bittet er sat. Controlpanelet skal styres af en der som minimum kender forskel på at "kører program" og "åbne data file".

  • 0
  • 0
Log ind eller Opret konto for at kommentere