RAA: Un nuovo Ransomware in Javascript

Nuovo arrivo nella famiglia dei malware è RAA, programmato interamente in codice JavaScript ed individuato da una coppia di ricercatori indipendenti alias @JAMES_MHT e @benkow_ alcuni giorni addietro. Da impostazioni standard, l’implementazione di JavaScript non include nessuna funzione di crittografia avanzata. Per aggirare questo problema, i programmatori del ransomware hanno utilizzato CryptoJS, libreria pubblica di Google Code Project. 

Come viene diffuso?

RAA viene diffuso principalmente tramite email di spam contenenti allegati: questi allegati altro non sono che file Javascript camuffati da documenti Word. Una volta fatto doppio clic sul file JavaScript, RAA genera un falso documento di Microsoft Word nella cartella Documenti, una volta aperto, il falso documento mostrerà un messaggio d’errore: l’utente penserà il documento sia semplicemente un file non integro, il ransomware si avvierà in background e comincerà la criptazione dei file.

Che cosa fa?

Una volta lanciato il malware inizia subito la sua scansione in background per rilevare tutte le unità disponibili e  i dischi connessi alla macchina sui quali l’utente ha accesso, avviando la sua funzione di cifratura e  aggiungendo ai file l’estensione “.locked” .
Inoltre RAA compirà altre due azioni:
1. si imposterà in autorun, così da eseguirsi ad ogni avvio di Windows e da criptare anche eventuali nuovi file creati/importati nella macchina
2. Cancellerà anche le copie shadow impedendo così la possibilità di eseguire un backup

Il trojan Pony

Se tutto ciò non fosse abbastanza,a peggiorare le cose interviene un ulteriore stringa che installa il trojan Pony, programmato per il furto di password e credenziali.
Anche questo trojan si imposterà in autorun.

Il messaggio di riscatto

Compiute queste operazioni, il ransomware genererà la classica richiesta di riscatto generalmente di 0,39bitcoin (circa di 255 euro) formulata in russo

raa ransomware

Di seguito la pagina tradotta in inglese da BleepingComputer

raa windows

Al momento non esiste alcun modo per decriptare  i file presi in ostaggio da questo malware.

COME DIFENDERSI

Il metodo migliore per affrontare il problema è la prevenzione,  quindi è importante organizzare un backup dei dati attraverso l’utilizzo di un hard disk esterno da collegare al computer solo nel momento in cui si necessiti di un backup (lasciandolo sempre collegato al computer nel  caso di infezione anche l’hard disk esterno verrà cryptato) e sopratutto prestare attenzione alle email che si ricevono verificando il mittente  e il contenuto delle email.

La software house QUICK HEAL ha ultimamente implementato i suoi ANTIVIRUS con protezioni elevatissime che garantiscono una efficente sicurezza dai Ransomware finora conosciuti, per ulteriori informazioni clicca qui .

INVIA MESSAGGIO