Befutott az új év első online zsarolólevele
Egy biztonságtechnikai kutató felfedezett egy komoly sebezhetőséget a JavaScriptben, amit Ransom32-nek hívnak. A kiberbiztonsággal foglalkozók a névből kitalálhatták, hogy egy ransomware-ről, a zsarolóprogramok egy fajtájáról lehet szó: ezek megbénítják a számítógép működését, illetve felajánlják, hogy a felhasználó folytathatja a munkát, ha befizet a megadott bankszámlára egy csinos összeget.
Fabian Wosar, az Emsisoft kutatója azt írja, a vírus elsősorban a Windows-felhasználókat támadja. A vírus egy önkicsomagoló tömörített fájlban érkezik, ami egy NW.js állományt tartalmaz. Az NW.js egy Javascript alapú alkalmazásfejlesztő keretrendszer, a segítségével egy webes alkalmazást hagyományos szoftverként is lehet futtatni. Ezzel Javascriptben is meg lehet csinálni mindent, amit a hagyományos programnyelvekkel, például a C++-szal vagy a Delphivel.
Na, akkor most összefoglaljuk, érthetően.
- A gép letölt egy WinRAR fájlt, ami kicsomagolódik.
- Van benne egy NW.js állomány, ami kicsomagolás után elvégzi a munka oroszlánrészét.
- A támadók ezután át is vehetik az irányítást a gép fölött: zsaroló levelet küldhetnek, megszerezhetik a merevlemez tartalmát, vagy amihez épp kedvük van.
A vírusvédő szoftverek és tűzfalak általában a digitális aláírás megléte alapján ellenőrzik, hogy egy állomány veszélyes-e a számítógépre. Mivel az NW.js egy legitim keretrendszer, van digitális aláírása is. Emiatt a vírusvédők általában nem észlelik a veszélyt.
Ezután a ransomware simán feltelepülhet a számítógépünkre, és közli velünk, hogy az összes fájlunkat titkosította, de ha befizetünk 350 dollárt Bitcoinban egy megadott számlára a lenyomozhatatlan Tor böngészővel, visszakaphatjuk őket.