News

RAA – Ransomware komplett in JavaScript

Die Forscher von Bleeping Computer haben die Ergebnisse ihrer Analyse der Ransomware RAA vorgestellt, die ausschließlich in JavaScript programmiert ist. Laut Aussage des Autors des entsprechenden Blogposts, Lawrence Abrams, wird die neue Erpressersoftware über schädliche E-Mail-Anhänge verbreitet, die als Word-Dokumente getarnt sind.

Erstmals entdeckt wurde RAA von den IT-Sicherheitsforschern @JAMES_MHT und @benkow_, die ihren Fund auf Twitter bekanntgaben. Da JavaScript in der Standardumsetzung nicht über fortschrittliche kryptografische Funktionen verfügt, nutzten die Autoren des Schädlings die Möglichkeiten von CryptoJS, einer Bibliothek mit offenem Quellcode, die solche Algorithmen enthält, wie AES, DES usw.

Im gegebenen Fall verschlüsselt RAA die Dateien der Opfer mit einem AES-Schlüssel mit einer Länge von 256 Bit. Obendrein installiert er eine Variante des Passwort-Diebes Pony, die in Form eines mit base64 kodierten Strings in die JS-Datei integriert ist.

„Attacken auf der Grundlage von JavaScript werden zunehmend beliebter, doch bei den meisten Erpresser-Schädlingen handelt es sich um kompilierten Code“, erklärte Abrams in einem Interview mit Threatpost am vergangenen Dienstag. „Ich glaube, die zu verzeichnende Zunahme von Installern auf JS-Basis ist dadurch zu erklären, dass sie einfacher zu programmieren und zu testen sind.“

„Die Virenschreiber wenden auch Obfuskation an, wodurch die Analyse mit Virenscannern erschwert wird; so wird diese JS-Datei zum gegenwärtigen Zeitpunkt beispielsweise mit einem Ergebnis von 6 aus 44 detektiert“, ergänzte der Experte unter Berufung auf VirusTotal (seither hat sich das Verhältnis geändert).

Wie auch viele seiner „Gesinnungsgenossen“, verschlüsselt RAA Bilder, Word- und Excel-Dokumente, Photoshop-Dateien, .zip- und .rar-Archive und lässt dabei die Dateien Program, Windows, AppData und Microsoft unberührt. Am Ende jeder verschlüsselten Datei wird die Erweiterung .locked angehängt. Die Lösegeldforderung ist in russischer Sprache verfasst; der Nutzer wird aufgefordert, die in der Mitteilung angegebene ID an die E-Mail-Adresse @keemail.me zu schicken, zur Probe einige Dateien zu dechiffrieren und – nachdem er sich von der Funktionsfähigkeit des Decodierers überzeugt hat – 0,39 Bitcoin (etwa 250 Dollar) an die Betreiber von RAA zu überweisen.

Bisher ist noch unklar, wie erfolgreich dieses Projekt tatsächlich sein wird. Innerhalb weniger Tage öffneten laut Abrams 65 Nutzer die schädliche JS-Datei, seitdem wurde der C&C-Server von RAA allerdings offline genommen.

Anfang des laufenden Jahres entdeckte Fabian Wosar von Emisoft einen analogen Ransomware-Schädling, der mit Hilfe von Node.js erstellt und in eine ausführbare Datei gepackt war. RAA ist allerdings der erste, den Forschern bekannte Ransomware-Schädling, der als Standard-JS-Datei ausgeliefert wird.

Quelle: Threatpost

RAA – Ransomware komplett in JavaScript

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach