Новое вредоносное ПО Ransom32 представляет собой вымогатель, написанный на JavaScript. Программа используется для заражения компьютеров под управлением OS X, Windows и Linux.

Ransom32 легко разворачивается даже слабо подготовленными злоумышленниками. У него есть приборная панель, которая позволяет указывать адреса, на которые можно послать выкуп в биткоинах. На панели управления ведется окно статистики о том, сколько биткоинов получено.

Копия Ransom32 была проанализирована специалистами Emsisoft, которые обнаружили, что новое семейство вымогателей включает самораспаковывающийся архив WinRAR, использует платформу NW.js для проникновения на компьютеры жертв. Затем происходит шифрование файлов с помощью алгоритма AES с ключом длиной 128 бит.

Основанная на Node.js и Chromium платформа NW.js является структурой JavaScript для разработки приложений. Благодаря средствам контроля и взаимодействия с операционной системой NW.js позволяет сделать на JavaScript почти все, что можно сделать на C++ или Delphi. Структура NW.js является законной, поэтому ее сложно обнаружить.

Ransom32 является неким подобием CryptoLocker, заразившим уже миллионы ПК. Злоумышленники помещают злонамеренный файл в мошеннические электронные письма, притворяющиеся уведомлениями о доставке, неоплаченными счетами и так далее.

В настоящее время данный вымогатель найден только под Windows, однако структура NW.js может выполняться на всех основных персональных операционных системах.

Чтобы защитить себя от данной угрозы, всегда создавайте актуальные резервные копии ваших данных. Удостоверьтесь, что ваш антивирус находится в актуальном состоянии. Не забывайте о его обновлении. Не открывайте почтовые приложения из неизвестных источников.

Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.

Версия для печати