Вымогатель RAA использует для работы только JavaScript

Вымогатель RAA использует для работы только JavaScript

Вымогатель RAA использует для работы только JavaScript

Еще в январе 2016 года специалист компании Emsisoft Фабиан Восар (Fabian Wosar) обнаружил вымогателя Ransom32, полностью написанного на JavaScript. Однако при распространении Ransom32 злоумышленники все равно полагались на исполняемые файлы. Обнаруженный на днях шифровальщик RAA не только полностью написан на JavaScript, но даже распространяется в виде .js файла.

Исследователи сообщают, что RAA можно назвать первой малварью, использующей в работе исключительно JavaScript. Злоумышленники прикладывают к спамерским письмам файл .js, замаскированный под документ Office, в надежде, что пользователь не заметит подвоха и откроет файл.

Вредоносный JavaScript код прошел обфускацию, так что разобраться в нем специалистам было нелегко. На большинстве компьютеров код исполняется посредством Windows Script Host, что позволяет вредоносному скрипту получить доступ ко всем системным утилитам. Также для отвлечения внимания малварь создает поддельный файл Word и открывает его. Внутри него содержатся обрывки других файлов. Все это призвано ввести пользователя в заблуждение, чтобы он решил, что документ поврежден (см. иллюстрацию выше), пишет xakep.ru.

 

Пейлоад RAA содержит библиотеку CryptoJS, с ее помощью и осуществляется шифрование файлов жертвы. Также пейлоад укомплектован зашифрованной base64 версией шпиона Pony. Данная малварь похищает учетные данные жертвы, информацию из браузера и так далее. Как правило, злоумышленники используют Pony для сбора детальной информации о зараженной системе, и шпион часто идет рука об руку с банковскими троянами.

Пока RAA шифрует только 16 типов файлов и меняет их расширение на .locked: .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar и .csv.

Шифровальщик требует у жертвы выкуп в размере 0,39 биткоина (около $250 по текущему курсу). Вымогательское сообщение написано на русском языке. Оно гласит, что вредонос применяет шифрование AES-256. Чтобы получить ключ дешифрования и спасти данные, жертва должна связаться с авторами малвари по почте. Эксперты Bleeping Computer сообщают, что «вскрыть» шифрование RAA пока не удалось.

 

Telegram лишился коротких ссылок: домен t.me отключили по всему миру

Короткие ссылки Telegram формата t.me перестали открываться в браузерах по всему миру. На проблему 13 июля обратило внимание издание «Код Дурова». Сам мессенджер при этом работает штатно: десктопная версия и приложения на смартфонах доступны, а ссылки t.me продолжают открываться внутри Telegram.

Сломался именно внешний переход через браузер.

По предварительным данным, домен фактически исключили из системы DNS на уровне реестра доменной зоны .me. Эта зона относится к Черногории, а ее оператором выступает компания doMEn, выбранная местными властями.

Почему реестр отключил домен, пока неизвестно. Среди возможных причин называют юридический спор, проверку, требования государственных органов или нарушение правил доменной зоны. Официальных разъяснений на момент публикации нет.

При этом сам домен остается зарегистрированным за Telegram до 2035 года. То есть срок регистрации не истек и обычной забывчивостью администратора ситуацию не объяснить.

В итоге получился странный сбой: Telegram на месте, каналы и чаты работают, но привычная короткая ссылка из браузера ведет в никуда. Пока причина не названа, пользователям остается открывать ссылки через приложение или ждать, когда домен вернут в DNS.

RSS: Новости на портале Anti-Malware.ru