Tahun baru membawa kita jenis baru ransomware disebut Ransom32 . Ini tidak akan patut dicatat jika tidak untuk satu hal: Ransom32 adalah yang pertama dari jenisnya, karena didasarkan pada JavaScript. Program jahat ini menggunakan platform NW. js, yang menjadikannya ransomware lintas-OS. Sejauh ini hanya memiliki sistem operasi Windows bertarget, namun, yang dapat dengan mudah berubah sebagai kerangka NW. js memungkinkan untuk ditulis untuk Mac OS X dan Linux. Kerangka kerja ini juga bertanggung jawab untuk memberikan ransomware dengan lebih banyak kontrol atas sistem yang terpengaruh dan memungkinkan JavaScript untuk berfungsi dengan cara yang hampir sama seperti bahasa pemrograman seperti C++ dan Delphi.
Masalah lain dengan aplikasi berbahaya adalah bahwa hal itu dijual sebagai layanan. Ransom32 dapat didownload dari situs web Tor bawah tanah oleh siapa saja yang memiliki alamat Bitcoin. Yang disebut pembeli tidak harus membayar apa-apa untuk dieksekusi, tetapi para pengembang ransomware mengambil 25% dipotong dari semua pembayaran tebusan yang dikirim ke alamat Bitcoin pembeli. Setelah pengguna sign up untuk malware, ia disajikan dengan afiliasi Console, yang menunjukkan statistik dari kampanye distribusi termasuk menginstall, Lockscreens, Paids, dan Paid BTC. Konsol ini juga berisi pengaturan konfigurasi bagian, di mana afiliasi dapat mengatur jumlah bitcoins untuk ditanyakan dari pengguna komputer, memilih apakah atau tidak komputer yang terinfeksi harus dikunci, dan sebagainya. Setelah afiliasi download versi yang disesuaikan parasit, ia dapat memulai distribusi.
Proses enkripsi dimulai segera setelah ancaman menyusup sistem komputer. File berbahaya memasuki sistem dalam bentuk file RAR 22MB yang ekstrak diri dan menambahkan beberapa file ke folder C:UsersUserAppDataRoaming Chrome browser. Ini juga membuat shortcut di Startup folder bernama Chrome Service, yang memungkinkan ransomware untuk memulai secara otomatis setiap kali pengguna MENYALAKAN PC. Pintasan itu sendiri tertaut ke chrome berkas. exe, yang sebenarnya adalah paket NW. js yang berisi kode JavaScript yang mengenkripsi berkas yang disimpan di komputer. Jenis file yang dapat terpengaruh oleh enkripsi meliputi. jpg,. docx,. pdf,. xls,. PPTX,. mp4,. AVI,. 3GP,. asf,. MPEG,. wma,. dat, dan banyak lagi.
Setelah malware selesai dengan enkripsi, ini akan menampilkan pesan pada desktop. Pesan ini menginformasikan pengguna bahwa datanya telah dienkripsi dan bahwa untuk mendapatkannya kembali, ia perlu membeli kunci dekripsi pribadi. Pengguna diberikan tenggat waktu 4 hari sebelum jumlah pembayaran meningkat, dan batas waktu 7 hari sebelum kunci dihancurkan. Bahasa default pesan adalah bahasa Inggris, namun, mungkin disajikan dalam bahasa Spanyol juga. Layar juga menawarkan kemungkinan dekripsi satu file gratis untuk membuktikan bahwa file tersebut sebenarnya dapat dipulihkan.
Sayangnya, pada saat ini tidak ada pilihan yang mungkin untuk mendekripsi file dalam cara alternatif, selain memulihkan mereka dari cadangan. Itulah mengapa sangat penting untuk memiliki salinan cadangan data Anda yang paling relevan. Kami juga mendesak Anda untuk lebih berhati-hati secara online, terutama ketika mengunduh file ke PC Anda, dan untuk memiliki alat pencegahan dan penghapusan malware yang kuat terinstal dan diperbarui setiap saat.