2 Remove Virus

Ransom32 — Первый JavaScript на основе вымогателей

Новый год приносит нам новый тип вымогателей называется Ransom32 . Это не было бы, что примечательно, если бы не одна вещь: Ransom32 это первый в своем роде, потому что он основан на Javascript. Вредоносная программа использует платформу NW.js, что делает его кросс-ОС вымогателей. До сих пор он имеет только целевые операционные системы Windows, однако, что может легко измениться, как NW.js рамки позволяет ему быть написаны для Mac OS X и Linux. Эта структура также отвечает за предоставление вымогателей с большим контролем над пострадавшей системой и позволяет JavaScript функционировать почти таким же образом, как такие языки программирования, как C и Delphi.

Другая проблема с вредоносным приложением является то, что он продается как услуга. Ransom32 может быть загружен с подпольного сайта TOR любым, у кого есть адрес Bitcoin. Так называемый покупатель не должен ничего платить за исполняемый, но разработчики вымогателей принять 25% сократить все выплаты выкупа, которые отправляются на адрес Bitcoin покупателя. После того, как пользователь подписывается на вредоносное ПО, он получает партнерскую консоль, которая показывает статистику кампании распределения, включая Installs, Lockscreens, Paids и Paid BTC. Консоль также содержит раздел конфигурации настроек, где партнер может установить количество Bitcoins, которые будут запрошены от пользователей компьютеров, выбрать, следует ли заблокирован зараженный компьютер, и так далее. После того, как филиал загружает настраиваемую версию паразита, он может начать ее распространение.

Процесс шифрования начинается вскоре после того, как угроза проникает в компьютерную систему. Вредоносный файл входит в систему в виде файла 22MB RAR, который самостоятельно извлекает и добавляет несколько файлов в папку браузера C::Users.AppData.Roaming. Chrome Он также создает ярлык в Startup Folder называется Chrome служба, которая позволяет вымогателей для запуска автоматически каждый раз, когда пользователь включается на ПК. Сам ярлык связан с chrome файлом .exe, который на самом деле является пакетом NW.js, содержащим код Javascript, который шифрует файлы, хранящиеся на компьютере. Типы файлов, которые могут быть затронуты шифрованием, включают .jpg, .docx, .pdf, .xls, .pptx, .mp4, .avi, .3gp, .asf, .mpeg, .wma, .dat и многое другое.

Как только вредоносная программа будет выполнена с помощью шифрования, она отображает сообщение на рабочем столе. Это сообщение сообщает пользователю, что его данные были зашифрованы и что для того, чтобы получить его обратно, он должен приобрести частный ключ расшифровки. Пользователю предоставляется 4-дневный срок до увеличения суммы платежа и 7-дневный срок до уничтожения ключа. Языком сообщения по умолчанию является английский, однако, он может быть представлен на испанском языке, а также. Экран также предлагает возможность расшифровки одного файла бесплатно, чтобы доказать, что файлы действительно могут быть восстановлены.

К сожалению, на данный момент нет никаких возможных вариантов для расшифровки файлов каким-либо альтернативным способом, кроме восстановления их из резервного копирования. Вот почему так важно иметь резервные копии наиболее релевантных данных. Мы также призываем вас быть более осторожными в Интернете, особенно при загрузке файлов на ваш компьютер, и иметь мощный инструмент предотвращения и удаления вредоносных программ установлен и обновлен в любое время.