Обнал сервис MoneyTeam wwh PolisBlank
Взлом ВК
hacknet Продажа, изготовление водительских удостоверений (нового и старого образца)
hacknet

СМИ Обнаружен новый вымогатель, написанный на JavaScript

Тема в разделе "Новости СМИ", создана пользователем Marck, 20/6/16.

  1. TopicStarter Overlay
    Marck

    Marck Ветеран Модератор Проверенный продавец

    Написать в ЛС
    Последняя активность:
    07.12.16
    Регистрация:
    23/8/15
    Сообщения:
    622
    Симпатии:
    282
    Сделок через ГС (Offelia):
    3
    Депозит:
    Злоумышленники требуют выкуп в размере $250 за восстановления доступа к файлам жертвы.

    Использование нестандартных языков программирования для создания вредоносного ПО является дополнительным бонусом для вирусописателей. Исследователи из Bleeping Computer обнаружили новый вид вымогательского ПО, написанный 100% на JavaScript. Новый вымогатель получил название RAA.

    Ранее исследователи уже наблюдали похожие решения, разработанные на NodeJS, новый вредонос не поставляется на систему в виде исполняемого файла, а является обычным JavaScript-сценарием.

    По умолчанию JavaScript не содержит средств шифрования данных, поэтому вирусописатели используют функционал библиотеки CryptoJS для шифрования файлов на системе с помощью алгоритма AES.

    В настоящий момент RAA поставляется на систему жертвы через спам-рассылку. Вредонос маскируется под документ Word. Пример названия файла: mgJaXnwanxlS_doc_.js.

    После запуска JS сценария, вредонос начинает шифровать файлы на диске. Злоумышленники требуют примерно $250 выкупа за возобновления доступа к файлам.
    К зашифрованным файлам добавляется расширение .locked. Вредонос шифрует файлы с расширениями .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv.

    Вредонос также устанавливает на систему шпионское ПО Pony, предназначенное для кражи паролей пользователей.

    Файлы, ассоциированные с RAA:

    %Desktop%\!!!README!!![id].rtf
    %MyDocuments%\doc_attached_[random_chars]
    %MyDocuments%\st.exe

    Ключи реестра, ассоциированные с RAA:

    HKCU\RAA\Raa-fnl
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run @ = "[path_to_JS_file]"
     
    Admin нравится это.
  2. Инфо. Бот Администратор

    Просьба ознакомиться с основными правилами проекта Читать.
    В сети полно мошенников, которые умело могут Вас развести и завладеть вашими денежными средствами.
    Для безопасности сделок рекомендуем пользоваться услугами Гарант сервиса.
     
Big.Bob