影響更廣、偵察更難 首度發現有勒索軟件使用 JavaScript 制作

2016 年勒索軟件的威脅有增無減。日前有研究人員發現了第一隻使用 JavaScript 的勒索軟件,並將之稱為 Ransom32。Ransom32 使用了基建於 Node.js 和 Chromium 的 JavaScript 框架 NW.js,因此理論上無論是 Windows、Linux 和 Mac OS X 都可被攻擊。

2016 年勒索軟件的威脅有增無減。日前有研究人員發現了第一隻使用 JavaScript 的勒索軟件,並將之稱為 Ransom32。Ransom32 使用了基建於 Node.js 和 Chromium 的 JavaScript 框架 NW.js,因此理論上無論是 Windows、Linux 和 Mac OS X 都可被攻擊。

 

可觀察受害人數、自訂勒索金額

在暗網獲得 Ransom32 後,黑客首先輸入用作接收贖金的 Bitcoin 地址,然後就可以進行控制台觀察數據,例如多少人中招和繳付贖金;此外他們可以設定多個選項,例如勒索金額、警告方式、潛伏時間等。把選項設定好後,黑客便可以下載勒索軟件。該檔案有 22MB ,比起一般的勒索軟件大得多,但傳播方式其實無異。

 

勒索軟件以 AES 加密檔案

Emsisoft 的研究人員調查後,發現軟件是一個可自動解壓的檔案,內裡有多個檔案。當中 chrome.exe 便是帶有惡意程式碼的檔案,內裡使用 NW.js 框架;g 就是早前在網上控制台設定的資料,以 JSON 格式呈現;rundll32.exe 其實是 Tor。

當軟件被執行時,所有檔案會解壓到 “%AppData%\Chrome Browser” 路徑,然後 s.exe 便會在 Windows 「啟動」的資料夾加入名為 ChromeService 的捷徑,確保每次開機時勒索軟件都會啟動。接著軟件就會啟動 Tor 與其 C&C 伺服器建立連線。當用作收贖金的 Bitcoin 地址回傳到伺服器,和獲得用作加密的鑰匙後,軟件就會顯示勒索通知,然後開始加密影像檔、音效檔、影片檔和 Office 文件等。


檔案會以 AES 方式、128 bit 金鑰來對稱加密,每加密一個檔案就有一個新的金鑰產生;其金鑰亦會以 RSA 公鑰來加密。為了證明檔案確實能被解密還原,Ransom32 容許受害人解密一個檔案。過程中,屬於該檔案、被加密的 AES 金鑰會傳送到 C&C 伺服器,然後就會傳回已解密的金鑰。

 

JavaScript 勒索軟件帶來更多威脅

本來 JavaScript 的運作局限在在瀏覽器,不太能夠深入地接觸系統,但 Ransom32 採用NW.js,使 JavaScript 也能像其他編程語言般與系統互動。加上 NW.js 能使程式以 JavaScript 在各平台上執行,因此理論上 Windows 、Linux 和 Mac OS X 都受影響。最後,勒索軟件用的是是合法的 JavaScript 框架,因此防毒軟件較難偵察。

Source : Emsisoft