Ransom32 The First Ransomware JavaScript Run on Windows

Ransom32 Le premier Ransomware JavaScript capable de fonctionner sur Windows, Linux et Mac OS X

Ransom32 Le premier JavaScript Ransomware exécuté sous Windows
Ransom32 Le premier JavaScript Ransomware exécuté sous Windows

Ransom32 est un nouveau rançongiciel familial découvert par des chercheurs de la société de sécurité Emsisoft. Présenté comme le premier du genre à utiliser JavaScript dans son code source.

[dropcap]R[/dropcap]ansom32 est un nouveau rançongiciel familial découvert par des chercheurs de la société de sécurité Emsisoft. Présenté comme le premier du genre à utiliser JavaScript dans son code source, le demandeur de rançon a été encodé via le framework NW.js, anciennement connu sous le nom de Node-WebKit. NW.js permet aux développeurs de créer des applications de bureau pour Windows, Linux et Mac OS X à l’aide de JavaScript. Il est basé sur le projet Node.js et Chromium et utilise une version allégée de WebKit, le moteur de rendu utilisé dans Chrome, Safari et Opera.

Si les navigateurs limitent l’interaction du code JavaScript avec le système d’exploitation sous-jacent, l’une des particularités de la plate-forme NW.js est qu’elle supprime ces limites et donne ainsi aux développeurs beaucoup plus de contrôle et d’interaction avec le système d’exploitation. Si une application a besoin de NW.js pour être immédiatement utilisable sur Windows, Linux et Mac OS X, pour l’instant, seuls les PC Windows semblent avoir été infectés par un ransomware. Comme de nombreuses menaces, Ransom32 est généralement distribué via des campagnes de spam.

Ransom32 Le premier Ransomware JavaScript capable de fonctionner sur Windows, Linux et Mac OS X

Ransom32 Le premier Ransomware JavaScript capable de fonctionner sur Windows, Linux et Mac OS X
Ransom32 Le premier Ransomware JavaScript capable de fonctionner sur Windows, Linux et Mac OS X

Le fichier malveillant est donc joint à des emails mentionnant entre autres des factures impayées ou des avis de livraison. Le malware fonctionne comme un Ransomware as a Service (RAAS) et est distribué par des intermédiaires qui s’abonnent à des acteurs sur une plate-forme gérée dans le réseau Tor. Ce service permet à tout amateur de diffuser la menace après avoir configuré sa propre version personnalisée de ransomware.

Lisez aussi : Comment pirater le Wi-Fi sur Android

Tout ce dont vous avez besoin pour vous inscrire et devenir distributeur est de fournir une adresse Bitcoin sur laquelle les fonds générés seront payés. Après chaque paiement effectué par une victime, les fonds sont transférés sur le compte des auteurs du malware. Ils récupèrent donc une commission de 25% avant de reverser le reste de l’argent aux distributeurs. Lors de l’inscription, les futurs distributeurs de rançongiciels accèdent à une page d’administration où ils peuvent effectuer certaines configurations. Cette page livre diverses statistiques comme le nombre de personnes ayant déjà payé ou le nombre de systèmes qui ont été infectés.

Là, ils peuvent configurer le malware (verrouillage complet de l’ordinateur, faible utilisation du processeur, etc.), mais également définir le nombre de bitcoins à payer par la victime. Une fois cette phase terminée, ils peuvent alors uploader leur ransomware qui a une taille remarquable de 22 Mo

Ransom32 Le premier Ransomware JavaScript capable de fonctionner sur Windows, Linux et Mac OS X
Ransom32 Le premier Ransomware JavaScript capable de fonctionner sur Windows, Linux et Mac OS X

Si en général, la taille du malware ne dépasse pas 1 Mo, ce cas inhabituel ici ne signifie pas qu’il s’agit de l’œuvre d’un amateur, précise Fabian Wosar du cabinet de sécurité. Cela a plutôt salué le cryptage utilisé par Ransom32, il compare le cryptolocker d’origine. Si Fabian a pu « casser » de nombreuses familles de ransomwares par le passé, il précise que cette nouvelle variante est désormais indéchiffrable. En ce qui concerne la charge utile du ransomware, il s’agit d’une archive auto-extractible WinRAR qui contient apparemment tout ce qu’il faut pour aider le malware à compromettre l’ordinateur de l’utilisateur.

L’archive contient une copie du contrat de licence GPL, mais également un fichier « chrome.exe » qui est en fait une application NW.js packagée. Cette application contient du code malveillant et le framework nécessaire pour exécuter le logiciel malveillant. Cela signifie que Ransom32 ne compte sur aucun framework existant sur l’ordinateur de l’utilisateur. Entre autres fichiers, on trouve dans l’archive un petit script qui identifie et supprime tous les fichiers et dossiers d’un répertoire donné. Le fichier WinRAR comprend également des informations sur la configuration du logiciel malveillant.

Une fois que Ransom32 est exécuté, il extrait tous les fichiers du dossier des fichiers temporaires et crée un raccourci dans le dossier de démarrage d’un utilisateur pour s’assurer que le logiciel malveillant est exécuté à chaque fois. Il peut alors commencer à chiffrer les fichiers de l’utilisateur et il demande à la victime de payer une rançon au risque d’augmenter la rançon ou de détruire la clé de déchiffrement.

Laisser un commentaire