JavaScript电子邮件附件可以携带有效的勒索软件
攻击者用一个名为RAA的新赎金软件程序感染计算机,即通过使用强大的加密锁定javascript中的r r,锁定用户“文件。
大多数用于Windows的恶意软件程序是用C组或C ++这样的编译编程语言编写的,并采用诸如.exe或.dll等便携式可执行文件的形式。其他人使用命令行脚本,例如Windows批处理或PowerShell。
它很难看出以基于Web的语言编写的客户端恶意软件,例如JavaScript,主要用于被浏览器解释。然而,Windows脚本主机,内置于Windows中的服务,可以自然地执行.js和其他脚本文件。
最近几个月攻击者已经采取了这种技术,Microsoft警告4月份包含JavaScript文件的恶意电子邮件附件中的飙升。上个月,来自ESET的安全研究人员警告了一波垃圾邮件,通过.js附件分配了锁定的ransomware。
在这两个情况下,JavaScript文件用作恶意软件下载器 - 旨在下载和安装传统恶意软件程序的脚本。然而,在RAA的情况下,整个勒索软件是用JavaScript编写的。
根据技术支持论坛BleepingComputer.com的专家,RAA依赖于CryPTOJS,是一个合法的JavaScript库,实现其加密例程。使用AES-256加密算法,实现似乎是稳定的。
一旦加密文件,RAA将扩展名为其原始名称。ransomware针对以下文件类型:.doc,.xls,.rtf,.pdf,.dbf,.jpg,.dwg,.cdr,.psd,.cd,.mdb,.png,.lcd,.zip,.rar和.csv。
“此时,没有办法免费解密文件,”BleepingComputer.com的创始人在博客帖子中说,劳伦斯·伯利姆斯说。
迄今为止,用户报告的RAA感染以俄语展示赎金说明,但即使威胁仅针对俄语用户目前,它只是一个时间问题,直到它更广泛地分发和本地化其他语言。
人们通过电子邮件发送用JavaScript编写的合法应用程序非常罕见,因此用户应该避免打开此类文件,即使它已括在.zip存档中。.js文件的原因很少在第一个地方存在于网站和Web浏览器之外。
