完全用JavaScript写成的勒索软件

Posted 2021-04-17 安全牛

不要运行javascript附件，这可能是勒索软件。

攻击者正使用一种被称为RAA的新型勒索软件感染计算机，该软件完全由JavaScript写成，可使用强加密锁住用户的文件。

大多数Windows上的恶意软件都是使用C和C++等编译程序语言编写的，它们的出现形式往往是.exe或者.dll这样的可迁移可执行文件。还有一些使用Windows批处理或者PowerShell这样的命令行脚本。

使用JavaScript这样基于Web的语言编写用户端恶意软件并不多见，JavaScript的主要使用场景是浏览器。不过，Windows的一项自带服务Windows Script Host能够在盒子外本地化地执行.js和其它脚本文件。

攻击者在过去的几个月里使用了这项技术，而微软在今年四月份已经警告称，包含JavaScript的恶意电子邮件数量大幅增加。上个月，来自ESET的安全研究人员警告了一波通过.js附件传播Locky勒索软件的垃圾邮件。

上面两个例子中，JavaScript文件的功能都是恶意软件下载器：它们被设计用来下载并安装常见的恶意软件程序。对RAA而言，整个勒索软件都是用JavaScript写的。

技术支持论坛BleepingComputer.com上的专家表示，RAA依靠合法的JavaScript库CyptoJS来实现加密功能。加密看上去非常稳定，使用了AES-256算法。

在给文件加密之后，RAA会在其原文件名之后添加一个.locked扩展。这种勒索软件针对的是如下文件类型：.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar and .csv。

BleepingComputer.com的创始人Lawrence Abrams在一篇博客中说：“目前还没有办法不花钱解锁这些文件。”

目前用户上报的RAA感染中，勒索软件给出的勒索信息是用俄语写的，但即使该软件目前的目标只有俄语用户，它迟早也会针对更多语言区的人们展开攻击。

一般而言，人们通过电子邮件发送合法JavaScript的情况非常少见，因此用户应当避免打开此类文件，哪怕它是包含在.zip压缩文件里的。如果.js文件不在网站和浏览器环境中出现，那肯定另有原因。

－－－