Фабиан Восар из компании Emsisoft сообщил об обнаружении нового типа вымогательского программного обеспечения. Вредоносная программа, получившая название Ransom32, создана на платформе NW.js, ранее известной как Node-WebKit.
С помощью NW.js можно разрабатывать приложения, используя такие популярные веб-технологии, как CSS, HTML и JavaScript. Данная платформа, основанная на Chromium и Node.js, работает в обход обычной песочницы JavaScript.
По словам Восара, благодаря NW.js JavaScript получает возможности, сравнимые с функционалом таких языков программирования, как C++ и Delphi.
Как утверждает эксперт, Ransom32 является первой в мире вымогательской программой, созданной на базе JavaScript. Восар выяснил, что разработчики продают свою программу как сервис. Данная идея стала настоящим трендом в киберпреступном сообществе. Похожим образом поступают создатели вымогательских программ Fakben, Tox и Radamant. За использование своего продукта разработчики Ransom32 просят у клиентов четверть от всех полученных выкупов.
Клиенты хакеров получают доступ к примитивной панели управления. Для того, чтобы начать работу с программой, нужно лишь пройти авторизацию, используя Tor hidden service, и ввести адрес кошелька, на который будет поступать выкуп. В панели управления есть возможность просмотра статистики киберкампании и внесения изменений в настройки вредоносной программы.
Ransom32 занимает 22 Мб, значительно превышая стандартный размер для вымогательского программного обеспечения – не более 1 Мб. Но как утверждает Восар, на деле скачивание данной программы занимает пару секунд и вряд ли будет заметно для жертвы.
Хранение Ransom32 осуществляется в самораспаковывающемся архиве WinRAR, использующем команды SFX script для распаковки компонентов и установки вредоносной программы. Основной код программы находится в файле chrome.exe, который внешне схож с файлом, запускающим браузер Chrome.
Вредоносная программа использует легитимные компоненты NW.js, таким образом существенно затрудняя свое обнаружение. Данную программу могут обнаружить далеко не все антивирусы несмотря на то, что Ransom32 был впервые замечен более двух недель назад.
В настоящее время атаки с использованием Ransom32 направлены только против пользователей Windows, а распространение в большинстве случаев осуществляется через почтовый спам. Однако приложения, использующие NW.js, могут работать на разных платформах, что не исключает появления в перспективе версий Ransom32 для Mac OS и X Linux.
После того, как система была успешно заражена Ransom32, осуществляется шифровка данных, в том числе баз данных, документов, медиафайлов, изображений, а также исходных кодов.
После заражения жертве дается возможность расшифровать бесплатно один файл. В среднем преступники требуют выкуп за восстановление информации в размере 0.1 биткоина или 45 долларов. В случае, если выкуп не будет выплачен за четыре дня, то эта сумма вырастет до 1 биткоина или 450 долларов. В сообщении с требованием выкупа также указано, что в случае, если жертва не заплатит выкуп, все ключи дешифровки будут окончательно уничтожены через неделю.