RAA, UN NUEVO RANSOMWARE QUE USA CÓDIGO JAVASCRIPT Y AÑADE .locked. A LOS CIFRADOS, UTILIZANDO CryptoJS legal
Hasta ahora las amenazas de este tipo utilizan en su inmensa mayoría C++. Sin embargo, una nueva familia ha visto la luz dando completamente la vuelta a esta tendencia. Conocido como RAA, este ransomware es capaz de infectar el equipo y cifrar sus archivos haciendo uso exclusivamente de código JavaScript, algo nunca visto hasta este momento.
Aunque seguro que muchos os acordáis de Ransom32, otro virus informático que características muy similares, hay que decir que este a diferencia del que nos ocupa este se programó haciendo uso de Node.js, distribuyendo el primero en la actualidad como un archivo con extensión .js. Tal y como acostumbra a ser habitual, los ciberdelincuentes se ayudan una vez más de los documentos pertenecientes a la suite ofimática de Microsoft para distribuir la amenaza y llevar a cabo la infección de los equipos de forma satisfactoria.
Una vez descargado en el sistema, resulta bastante complicado para las herramientas de seguridad llevar a cabo su detección, ya que además del ofuscado del código utiliza el módulo de Windows conocido como Windows Script Host, permitiendo prácticamente total libertad a la hora de ejecutar las instrucciones, un problema para los usuarios que podría ver como sus archivos quedan inaccesibles sin tener la mínima oportunidad de hacer nada para evitarlo.
Teniendo en cuenta que está programado en su totalidad en JavaScript, parece razonable que RAA utilice la librería CryptoJS, conocida por los desarrolladores de páginas web para enviar de forma segura información entre los extremos.
Pero las funciones aún no acaban aquí para este ransomware.
Obfuscated function that installs Pony
RAA CONTIENE PARTE DEL CÓDIGO DE PONY
Para todos aquellos que no recuerden la finalidad de este malware que ha hecho acto de aparición, hay que decir que los propietarios del ransomware que nos ocupa lo necesitan para llevar a cabo el robo de la información contenida en el equipo. Esta funcionalidad se asocia más a troyanos bancarios que ransomwares, sin embargo, los ciberdelincuentes propietarios de esta amenaza han creído conveniente la implementación de las funciones de Pony para enviar la información posteriormente a un servidor remoto.
La amenaza solicita 0,39 Bitcoins para recuperar el acceso a los archivos. Sin embargo, lo más preocupante para los usuarios afectados es que por el momento los archivos no se pueden descifrar de forma gratuita, y ya se sabe que los expertos en seguridad no recomiendan el pago de la cantidad, por lo que tocará hacer uso de la copia de seguridad existente.
Ver información original al respecto en Fuente:
http://www.redeszone.net/
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.