Исследователи из Bleeping Computer зафиксировали RAA – новую разновидность вымогательского программного обеспечения, полностью написанную на JavaScript.
До этого эксперты уже выявляли подобные программы, созданные на NodeJS. Новая вредоносная программа не распространяется в виде исполняемого файла, а является простым JavaScript-сценарием.
В JavaScript отсутствуют средства шифрования данных, вследствие чего хакеры вынуждены пользоваться функционалом библиотеки CryptoJS, чтобы с помощью алгоритма AES шифровать файлы.
В настоящее время распространение RAA осуществляется с помощью спам-рассылок. Вредоносная программа замаскирована под документ Word.
После того, как жертва запускает JavaScript-сценарий, вредоносная программа производит шифрование файлов на диске. Киберпреступники требуют у жертв заплатить выкуп в размере около 250 долларов за восстановление информации.
После шифрования файлы получают расширение .locked. Вредоносная программа осуществляет шифрование файлов с расширениями .dbf, .doc, .cd, .cdr, .csv, .dwg, .jpg, .lcd, .mdb, .pdf, .png, .psd, .rar, .rtf, .xls и .zip.
Кроме того, RAA осуществляет установку программного обеспечения Pony, которое предназначено для хищения пользовательских паролей.