Ransom32 nun als JavaScript

EMSISOFT:

We consider ransomware one of the biggest threats of the past year and plan to do our best to continue our excellent track record in the next year, to keep our users as protected as possible.

Hier kommen viele komfortable Dinge zusammen. Ein selbsextrahierendes Archiv in dem angeblich der Browser Chrome sein soll. Ein in JavaScript geschriebene Malware die (fast) alle Daten auf dem Rechner verschlüsselt und erst gegen Bezahlung diese wieder frei gibt.

Nun ja, dass ist jetzt nicht neu und hat es in der vergangenheit schon mal gegeben. Das perverse ist aber, dass Ransom32 in JavaScript geschrieben wurde und das NW.js Framework benutzt. Mit dem NW.js Framework ist es möglich Programme in JavaScript zu erstellen, die als native Software unter Windows, OS X und Linux laufen. Dadurch haben die wesentlich mehr Rechte und können aus der Sandbox des Browser ausbrechen. Bisher gibt es Ransom32 nur für Windows. Mit wenig Aufwand können aber auch Builds für OS X und Linux erstellt werden.

Zusätzlich eklig ist, dass jede Datei mit einem eigenen Schlüssel verschlüsselt wird. Jeder dieser Schlüssel wird mit einem sogenannten Public Key verschlüsselt, der vom Command And Control Server beim ersten Verbindungsaufbau erhalten wurde. Das Bedeutet also, dass ohne den C2 Server gar nichts mehr geht. Zum entschlüsseln wird der verschlüsselte Key zum C2 Server geschickt und erhällt den entschlüsselten Key zur Entschlüsselung der jeweiligen Datei zurück. Sehr geschickt gemacht.

Schützen kann man sich eigentlich nur, in dem man regelmäßig Backups macht. Und zwar auf Festplatten die nicht permanent am System angeschlossen sind!

Quelle: heise.de / emsisoft.combleepingcomputer

Dieser Beitrag wurde unter Allgemein abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.