باجافزار RAA کاملاً براساس جاوا اسکریپت نوشتهشده است.
مشاهده
کردهایم که امسال باجافزارها به اشکال زیادی ظاهرشدهاند؛ اما محققان این
هفته ادعا کردهاند که یکرشتهی جدید از باجافزار را یافتهاند که
برخلاف گذشته کاملاً براساس جاوا اسکریپت نوشتهشده است.
این
باجافزار که به شکل RAA نامگذاری شده است، به گفته لورنس آبرامس
بهوسیله ضمیمههایی که خود را بهعنوان پروندههای doc. ورد معرفی
میکنند منتشر میشود. آبرامس اواخر شب دوشنبه در وبگاه خود
BleepingCopmuter.com در مورد این بدافزار مطالبی را نوشته است.
باجافزار
RAA که در ابتدا بهوسیلهی دو محقق با شناسههای JAMES_MHT@ و
benkow_@ کشف شد، پروندهها را با استفاده از کدهای CryptoJS رمزنگاری
میکند. کتابخانه CryptoJS کتابخانهای است که بهراحتی قابلاستفاده است و
میتواند الگوریتمهایی نظیر AES،DES و نظایر آن را مدیریت کند. در این
مورد، باجافزار RAA دستگاههای قربانیها را بررسی میکند و پروندههای
انتخابشده را با الگوریتم AES-256 رمزنگاری میکند.
بهمحض
اینکه کسی پرونده را باز کند، این باجافزار پروندهها را روی دستگاه
قربانی رمزنگاری کرده و پسازآن از وی درخواست باج میکند که مبلغ آن
تقریباً ۲۵۰ دلار آمریکا است. اگر این کافی نباشد، باجافزار یک نسخه از
بدافزار Pony را که یک سرقت کنندهی مشهور گذرواژه است و در پرونده جاوا
اسکریپت بهعنوان یکرشتهی رمزنگاریشده روی همان دستگاه قرار دادهشده
است، نصب میکند.
آبرامز ادعا کرده است که این اولین بار است که
محققان حملاتی را مشاهده کردهاند که از CryptoJS در باجافزار استفاده
میکند، اما همین مورد میتواند نشانهای از ظهور موارد بعدی باشد. آبرامز
این سهشنبه به Thereatpost گفته است: «حملاتی که بر پایهی جاوا اسکریپت
هستند، قطعاً در آینده محبوبتر خواهند شد اما بیشتر باجافزارها هنوز از
کدهای کامپایل شده استفاده میکنند.
من فکر میکنم که ما در آینده
تعداد زیادی از نصب کنندهها را خواهیم دید که بر پایهی جاوا اسکریپت
نوشتهشدهاند، چراکه میتوان آنها را آسانتر نوشته و اشکالزدایی کرد.
همچنین با مبهم کردن آنها، نرمافزارهای ضد بدافزار بسیار سختتر
میتوانند آنها را مورد تجزیهوتحلیل قرار دهند. برای مثال تا به امروز
این پرونده جاوا اسکریپت تنها نرخ کشفی معادل ۶.۴۴ درصد در رتبهبندی
سامانهی VirusTotal داشته است».
همچون بسیاری دیگر از گونههای
باجافزارها، RAA یک پسوند به شکل locked. را به آخر نام پروندهها اضافه
میکند. درحالیکه این باجافزار از برخی پروندههای پوشههای Program
files،Windows files،AppData و Microsoft files چشمپوشی میکند، اما به
پروندههای تصویری، اسناد ورد، اکسل و فتوشاپ بهعلاوهی فرمتهای
ذخیرهسازی نظیر zip و rar. حمله میکند.
یادداشت ارائهشده از
سوی RAA به قربانیان میگوید که مبلغ ۰.۳۹ بیتکوین معادل ۲۵۰ دلار را به
نشانی بیتکوین مشخصی ارسال کنند. این یادداشت تصریح میکند که تنها
پسازاینکه این کار انجام شد، قربانیان میتوانند کلید مربوطه را دریافت
کرده و پروندههای خود را با آن رمزگشایی کنند.
مشخص نیست که
باجافزار RAA در آیندهی نزدیک تا چه حد موفق خواهد شد. به گفتهی آبرامز
به نظر میرسد که حدود ۶۵ قربانی برای باز کردن پرونده جاوا اسکریپت در ظرف
چند روز گذشته فریبخوردهاند، اما کارگزار کنترل و فرماندهی مرتبط با این
باجافزار تاکنون خاموش بوده است.
اوایل امسال، فابیان وسار یکی
از محققان شرکت Emisoft یک نوع مشابه از باجافزار را کشف کرده بود که
بهوسیلهی Node.js ایجادشده است و به شکل یک پرونده اجرایی بستهبندیشده،
اما این اولین بار است که یک باجافزار دیدهشده که تنها با یک پرونده
استاندارد JS عرضهشده است.