Bitcoin Forum

Обнаружена первая вымогательская малварь, основанная на JavaScript
04.01.16 - https://xakep.ru/2016/01/04/ransom32/ (https://xakep.ru/2016/01/04/ransom32/)

---

В новый год с новой малварью. Специалист компании Emsisoft Фабиан Восар (Fabian Wosar) рассказал об обнаружении нового типа вымогательского ПО. Вредонос, получивший имя Ransom32, построен на платформе NW.js , ранее известной как Node-WebKit.

NW.js (http://nwjs.io/) (ранее Node-WebKit) — мощный кроссплатформенный фреймворк, который позволяет создавать приложения с использованием таких популярных веб-технологий, как HTML, CSS и JavaScript. Платформа основана на Chromium и Node.js и работает в обход обычной песочницы JavaScript.


Согласно данным Восара, Ransom32 – первая в мире вымогательская малварь, построенная на базе JavaScript. Исследователь установил, что авторы вредоноса продают свою разработку как сервис. Сейчас это настоящий тренд в мире киберкриминала: аналогичным образом поступают авторы вымогателей Radamant, Fakben и Tox. За использование своей малвари создатели Ransom32 просят около 25% от всех полученных выкупов.


Клиентам хакеров предоставляется доступ к простенькой панели управления. Достаточно авторизоваться с использованием Tor hidden service и задать адрес кошелька, на который жертвы будут переводить выкуп. На этом «конфигурирование» фактически закончено, и малварь готова к работе. В панели управления можно отслеживать статистику вредоносной кампании и изменить настройки вредоноса.


Ransom32 занимает 22 Мб, что значительно больше обычного – вымогательский софт редко «весит» больше 1 Мб. Однако Восар пишет, что 22 Мб – много только на первый взгляд. В реальности скачивание займет пару секунд, и вряд ли кто-то обратит на него внимание.

Ransom32 хранится в самораспаковывающемся архиве WinRAR, который использует команды SFX script для распаковки компонентов и установки вредоноса. Основной код малвари содержится в файле chrome.exe. Хотя с виду файл похож на исполняемый файл браузера Chrome, на деле это приложение, использующее NW.js.

Будьте акуратны и бдительны с хромом! :-X

Не, не так. Запускайте дрянь только в вайне =)

как же это современно - даже хакеры становятся бизнесменами, работающими за процент, пацаны определенно идут к успеху.

нечего лазать по говносайтам в поисках гавнофорков нашару  ;D

Ага, точно говорите - процентная система более точная и честная ;)

так ить эту хрень на говносайтах с говнофорками не подцепишь, мил человек. её ведь ещё разослать надо с мылом тем, кому думаешь компы заразить, так ещё и надо, чтоб они ехе.шник жмакнули на своей стороне , что бы эта хрень на машину жертвы встала  ;)

Многие почтовые службы отправят такое письмо прямиком в папку СПАМ - это во-первых. Ну а во вторых не открывайте письма от незнакомцев, а тем более не запускайте и не открывайте вложения.

Скорее под видом полезного полеченного софта с файлообменников, файл то по всякому назвать можно.

А что по этому поводу думает Хром)))) Честное имя позорят

Да хром вообще зараза второй вирус после виндуса...

Не знаю не знаю, я с 9 оперы на хром перешёл и с тех давних пор никаких глюков не замечал.

Незнаю что они там думают, их браузером тоже много людей пользуетса. Видимо малварь было проще реализовать именно таким образом.

Не, не так. Не запускайте всякую дрянь вообще... Стрелянным воробьям все эти страшилки до лампочки!