Összefoglaló
A Ransom32 trójai egy JavaScript alapú kártevő, mely titkosítja a számítógép fájljait, melyek visszafejtéséhez a támadó váltságdíjat követelhet.
Leírás
A kártevő egy önkicsomagoló WinRAR fájban érkezik. A kicsomagolt állomány többek között a “chrome.exe” ami tartalmaz egy NW.js-t, és a malware kódját. Az NW.js egy alkalmazás fejlesztő JavaScript framework mely Node.js és Chromium alapokon fekszik.
Az NW.js segítségével nagyobb kontroll szerezhető az operációs rendszer felett, a JavaScript segítségével minden olyan művelet elvégezhető mint egy pl. C++ nyelvvel.
Ha a kártevő aktiválódik másolja magát a %AppData%Chrome Browser” mappába, majd egy parancsikont hoz létre a felhasználó indítómappájában, hogy automatikusan indulhasson.
Ezek után kapcsolódik egy vezérlőszerverhez Tor hálózaton keresztül a 85-ös porton. A sikeres kapcsolódást követően a kártevő megjeleníti a váltságdíj követelő üzenetet.
Az üzenet megjelenítése után megkezdi az alábbi kiterjesztésű fájlok titkosítását:
.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat
Kihagyja az alábbi karaktereket tartalmazó mappákat:
- :windows
- :winnt
- programdata
- boot
- temp
- tmp
- $recycle.bin
Az enkódoláshoz 128 bites AES titkosítást használnak.
A kártevő egyelőre Windows alapú számítógépeket fertőz, azonban a JavaScript keretrendszer platformfüggetlensége miatt könnyedén portolható más rendszerekre is.
Megoldás
Használjon offline biztonsági mentést, és naprakész antivirus alkalmazást.
Támadás típusa
RansomwareHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: blog.emsisoft.com