最近出现了一种叫做RAA的勒索程序,完全用JavaScript写成,能通过使用很强的加密程序锁定用户的文件。
Windows中大多数的恶意软件都是用C或C++这种编译型的语言写的,以.exe或.dll等可执行文件的形式传播。其他的恶意软件则使用命令行的脚本写成,比如Windows的batch活这PowerShell。
客户端的恶意软件用网页相关的语言写成的很少,比如JavaScript的,这种语言主要是浏览器来解释。但是Windows内置的的Script Host,也可以直接执行.js文件。
攻击者最近才开始使用这项技术。上个月,微软 警告了在恶意邮件中的js附件可能携带病毒 ,ESET的安全研究院也警告,某些js附件可能散步Locky病毒。但是这两种情况下,JavaScript文件都是作为恶意软件的一个下载器的,他们从别的地址下载并默认安装使用别的语言写成的传统的恶意软件。但是RAA却不同,这是完全用JavaScript语言写成的恶意软件。
BleepingComputer.com技术支持论坛的专家说,RAA依赖与一个安全的JavaScript库CryptoJS,来实现它的加密过程。加密的实现非常牢固,使用了AES-256加密算法。
一旦文件被加密之后,RAA会在原文件名的后缀加上.locked。其加密的目标包括:.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar和.csv.
BleepingComputer.com的创始人Lawrence Abrams在一篇 博客 中说:“目前的情况下,除了付费,还没有能解密的方法。
根据用户的反应,感染RAA之后会随机显示俄文的信息,但是即使它的目标是俄罗斯的计算机,但是它的泛滥只是时间问题。
在邮件中包含JavaScript附件很不正常,所以用户最好避免打开这类文件,即使它们包含在.zip压缩文档中。.js文件除了在网站和浏览器中,在其他地方很少用。
引用
原文: JavaScript email attachments can carry potent ransomware
作者: Lucian Constantin
译者:赖信涛
责编:钱曙光