英文原文:JavaScript email attachments can carry potent ransomware
最近出现了一种叫做 RAA 的勒索程序,完全用 JavaScript 写成,能通过使用很强的加密程序锁定用户的文件。
Windows 中大多数的恶意软件都是用C或 C 这种编译型的语言写的,以 .exe 或 .dll 等可执行文件的形式传播。其他的恶意软件则使用命令行的脚本写成,比如 Windows 的 batch 活这 PowerShell。
客户端的恶意软件用网页相关的语言写成的很少,比如 JavaScript 的,这种语言主要是浏览器来解释。但是 Windows 内置的的 Script Host,也可以直接执行 .js 文件。
攻击者最近才开始使用这项技术。上个月,微软警告了在恶意邮件中的 js 附件可能携带病毒,ESET 的安全研究院也警告,某些 js 附件可能散步 Locky 病毒。但是这两种情况下,JavaScript 文件都是作为恶意软件的一个下载器的,他们从别的地址下载并默认安装使用别的语言写成的传统的恶意软件。但是 RAA 却不同,这是完全用 JavaScript 语言写成的恶意软件。
BleepingComputer.com 技术支持论坛的专家说,RAA 依赖与一个安全的 JavaScript 库 CryptoJS,来实现它的加密过程。加密的实现非常牢固,使用了 AES-256 加密算法。
一旦文件被加密之后,RAA 会在原文件名的后缀加上 .locked。其加密的目标包括:.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar 和 .csv.
BleepingComputer.com 的创始人 Lawrence Abrams 在一篇博客中说:“目前的情况下,除了付费,还没有能解密的方法。
根据用户的反应,感染 RAA 之后会随机显示俄文的信息,但是即使它的目标是俄罗斯的计算机,但是它的泛滥只是时间问题。
在邮件中包含 JavaScript 附件很不正常,所以用户最好避免打开这类文件,即使它们包含在 .zip 压缩文档中。.js 文件除了在网站和浏览器中,在其他地方很少用。
作者: Lucian Constantin
译者:赖信涛
责编:钱曙光