Новый шифратор маскируется под Google Chrome

Ransom32 написан на языке JavaScript и работает на платформе NW.js.

Компания ESET предупредила о появлении нового шифратора Ransom32, маскирующегося под браузер Google Chrome. Он является первым шифратором, написанным на языке JavaScript и работающим на платформе NW.js. В настоящее время эксперты исследовали версии Ransom32 для Microsoft Windows, но программа может быть адаптирована для Linux и Apple OS X.


Создатели Ransom32 реализуют шифратор по модели SaaS. Для генерации вредоносной программы и получения доступа к панели управления покупателю достаточно указать адрес своего биткоин-кошелька. Оператор Ransom32 сможет самостоятельно задавать сумму выкупа в биткоинах, создавать текст требования выкупа, а также просматривать статистику заражений и полученных средств.


Ransom32 распространяется через традиционные для шифраторов каналы: вредоносные сайты, атаки типа drive-by-download, вложения в электронной почте, а также сложные атаки с использованием троянцев-загрузчиков или бэкдоров.


После загрузки и исполнения в зараженной системе Ransom32 осуществляет шифрование файлов более ста распространенных форматов, включая txt, .doc, .JPG, .GIF, .AVI, .MOV, .MP4, и выводит на экран сообщение для жертвы. Для связи с управляющим сервером шифратор использует анонимную сеть Tor.


Шифрование производится с помощью 128-битного ключа, при этом для каждого файла генерируется новый ключ. Вредоносная программа предлагает жертве расшифровать один файл, чтобы убедиться, что восстановление данных возможно.

ASTERA