Ransom32 è una nuova scoperta di ransomware familiare da parte dei ricercatori della società di sicurezza Emsisoft. Presentato come il primo del suo genere a utilizzare JavaScript nel codice sorgente.
[dropcap]R[/dropcap]ansom32 è una nuova scoperta di ransomware familiare da parte dei ricercatori della società di sicurezza Emsisoft. Presentato come il primo del suo genere a utilizzare JavaScript per il suo codice sorgente, il richiedente il riscatto è stato codificato tramite il framework NW.js, precedentemente noto come Node-WebKit. NW.js consente agli sviluppatori di creare applicazioni desktop per Windows, Linux e Mac OS X utilizzando JavaScript. Si basa sul progetto Node.js e Chromium e utilizza una versione leggera di WebKit, il motore di rendering utilizzato in Chrome, Safari e Opera.
Se i browser limitano l'interazione del codice JavaScript con il sistema operativo sottostante, una delle peculiarità di NW.js piattaforma è che rimuove quei limiti e quindi offre agli sviluppatori molto più controllo e interazione con l'operatore sistema. Se un'applicazione ha NW.js deve essere scritta una volta per essere immediatamente utilizzabile su Windows, Linux e Mac OS X, per ora, solo il PC Windows sembra essere stato infettato da ransomware. Come molte minacce, Ransom32 è generalmente distribuito tramite campagne di spam.
Il file dannoso viene quindi allegato alle e-mail che menzionano fatture non pagate o avvisi di consegna, tra gli altri. Il malware funziona come un Ransomware as a Service (RAAS) ed è distribuito tramite intermediari che sottoscrivono gli attori su una piattaforma gestita nella rete Tor. Questo servizio consente a qualsiasi dilettante di distribuire la minaccia dopo aver impostato la propria versione personalizzata di ransomware.
Leggi anche: Come hackerare il Wi-Fi su Android
Tutto ciò di cui hai bisogno per registrarti e diventare un distributore è fornire un indirizzo Bitcoin su cui pagare i fondi generati. Dopo ogni pagamento effettuato da una vittima, i fondi vengono trasferiti sul conto degli autori del malware. Pertanto, recuperano una commissione del 25% prima di rimborsare il resto del denaro ai distributori. Al momento della registrazione, i futuri distributori di ransomware accedono a una pagina di amministrazione dove possono eseguire alcune configurazioni. Questa pagina registra varie statistiche come il numero di persone che hanno già pagato o il numero di sistemi che sono stati infettati.
Lì, possono configurare il malware (bloccare completamente il computer, basso utilizzo della CPU, ecc.), Ma anche impostare il numero di bitcoin che devono essere pagati dalla vittima. Una volta completata questa fase, possono quindi caricare il loro ransomware che ha una dimensione notevole di 22 MB
Se in generale, la dimensione del malware non supera 1 MB, questo caso insolito qui non significa che sia opera di un dilettante, afferma la società di sicurezza Fabian Wosar. Questo piuttosto ha elogiato la crittografia utilizzata da Ransom32, confronta il cryptolocker originale. Se Fabian è stato in grado in passato di "sfondare" molte famiglie ransomware, ha affermato che questa nuova variante è ora indecifrabile. Per quanto riguarda il payload del ransomware, si tratta di un archivio autoestraente WinRAR che contiene apparentemente tutto il necessario per aiutare il malware a compromettere il computer dell'utente.
L'archivio contiene una copia del contratto di licenza GPL, ma anche un file "chrome.exe" è in realtà un'applicazione NW.js confezionata. Questa applicazione contiene codice dannoso e il framework necessario per eseguire il software dannoso. Ciò significa che Ransom32 non conta su alcun framework esistente sul computer dell'utente. Tra gli altri file, trovato nell'archivio un piccolo script che identifica e rimuove tutti i file e le cartelle in una determinata directory. Il file WinRAR include anche informazioni sulla configurazione del malware.
Una volta eseguito Ransom32, estrae tutti i file nella cartella dei file temporanei e crea un collegamento nella cartella di avvio dell'utente per garantire che il malware venga eseguito ogni volta. Può quindi iniziare a crittografare i file dell'utente e ha chiesto alla vittima di pagare un riscatto con il rischio di aumentare il riscatto o di distruggere la chiave di decrittazione.