首款百分百以 JavaScript 制作的勒索軟件「RAA」曝光

首款利用 JavaScript 的勒索軟件 Ransom32 在一月曝光,但它不是完全依賴 JavaScript 來破壞電腦,因為它啟動仍是靠 exe 執行檔。不過研究人員最近發現的一款勒索軟件 RAA 就不同了,他們稱這是百分百的 JavaScript 檔案,用戶把它開啟就會加密電腦檔案。

首款利用 JavaScript 的勒索軟件 Ransom32 在一月曝光,但它不是完全依賴 JavaScript 來破壞電腦,因為它啟動仍是靠 exe 執行檔。不過研究人員最近發現的一款勒索軟件 RAA 就不同了,他們稱這是百分百的 JavaScript 檔案,用戶把它開啟就會加密電腦檔案。

 

JavaScript 本身沒有強力的加密功能,但開發者利用 CryptoJS 函數庫後 RAA 便可以用 AES 加密。

RAA 透過電郵附件傳播,以 mgJaXnwanxlS_doc_.js 等檔案名稱來偽裝成 Office Word 的 doc 文件。當 RAA 被開啟後電腦部分的檔案就會被加密,並要求 0.39 BitCoin (約 250 美元)作贖金。RAA 更會植入木馬 Pony 盜取密碼。現時未有方法拯救被 RAA 加密的檔案。

 

RAA 加密過程

受害人執行 RAA 後,首先有一個 doc 檔案在我的文件(%MyDocuments%)產生和開啟,讓人誤以為附件因受損而產生錯誤訊息。

讓人誤以為附件受損而產生錯誤的訊息。

 

當人們以為附件受損時,其實 RAA 已在背後執行。它會掃描電腦所有的儲存裝置,如果裝置是可寫的就會加密目標檔案,即.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv,並加入 .lock 副檔名,但 RAA 會略過 Windows 、Program Files 等系統資料夾內的檔案。

此外 RAA 亦會刪除系統的 Volume Shadow Copy Service (大量陰影複製服務,VSS),使受害人無法從「陰影」還原檔案。

最後 RAA 會產生 rtf 檔案的勒索通知,內文以俄文寫成;每個通知都有獨一無二的 ID。之後 RAA 就會設為自動執行,每次受害人登入 Windows 時都會加密新檔案。

RAA 用俄文寫成的勒索通知

 

除了加密檔案,RAA 亦附帶 Pony 木馬盜取受害人密碼。由於 RAA 在每次開機都會自動執行,因此 Pony 亦一樣會自動啟動。

Source : Bleeping Computer