Ransom۳۲ اولین باج افزار مبتنی بر جاوااسکریپت

کمیته رکن چهارم – یک باج‌افزار به عنوان سرویس جدید معروف به Ransom۳۲ کشف شده که برای اولین بار از یک باج‌افزار مبتنی بر جاوااسکریپت برای عمل روی سامانه‌‌های لینوکس، ویندوز و مک، استفاده می‌کند.

به گزارش کمیته رکن چهارم، به کاربران خود اجازه می‌دهد که بدافزار را به سرعت و به راحتی گسترش دهند. همچنین شامل یک داشبورد است که به کاربران این امکان را می‌دهد که با استفاده از آن آدرس‌های بیت‌کوین خود را طراحی کنند تا باج‌ها به آن‌ها پرداخت شوند. این داشبورد همچنین آمار مربوط به میزان بیت‌کوین کسب شده را نیز نمایش می‌دهد.
خلاصه این‌که، این باج‌افزار به عنوان سرویس، بسیار ساده و درعین حال کارآمد است، به طوری که هرکسی تا زمانی که دارای یک آدرس بیت‌کوین است، می‌تواند رونوشت مربوط به خود از این باج‌افزار را دریافت و توزیع کند.
رونوشت Ransom۳۲ اولین بار توسط Emsisoft تحلیل شد، که در نتیجه‌ی آن مشخص شد که این خانواده‌ی جدید باج‌افزاری، که در یک بایگانی خود استخراج‌کننده‌ی WinRAR جاسازی شده بود، از سکوی NW.js برای نفوذ به رایانه‌ی قربانی استفاده می‌کند و بعد با استفاده از رمزنگاری ۱۲۸ بیتی AES، پرونده‌های رایانه‌ی قربانی را رمزگذاری کرده و گرو نگه می‌دارد.

اما چرا چارچوب NW.js؟

NW.js که سابقاً به عنوان Node-WebKit شناخته می‌شد، یک چارچوب جاوااسکریپت برای توسعه‌ی برنامه با استفاده از Node.js یا Chromium است. عمل‌کرد آن به این صورت است که جاوااسکریپت را در سندباکس با محدودیت عادی قرار می‌دهد، در نتیجه یک برنامه‌ی وب می‌تواند بدون مانع سندباکس برای رومیزی هم استفاده شود.
بنا به اظهارات کارشناسان شرکت Emsisoft: «NW.js اجازه می‌دهد که کنترل و تعامل بیشتری با سامانه‌‌ی عامل وجود داشته باشد، که به جاوااسکریپت این امکان را می دهد که تقریباً هر کار عادی در زبان‌های برنامه‌نویسی مانند سی‌پلاس‌پلاس یا دلفی را انجام دهد.»
چارچوب NW.js نه تنها آسیب‌های مستقل از سکو را ممکن می‌سازد بلکه امکان تشخیص را نیز سخت‌تر می‌کند چون یک چارچوب قانونی است. Ransom۳۲ تا حدی شبیه به CryptoLocker است که یکی از بدترین باج‌افزارها بوده و تاکنون میلیون‌ها سامانه‌ را آلوده کرده است.
Ransom۳۲ در بازار سیاه معامله می‌شود و نویسنده‌های آن به ازای هر باج پرداخت‌شده ۲۵ درصد مبلغ آن را در ازای خدمات کسر کرده و مابقی را به آدرس بیت کوین کاربر ارسال می‌کنند.

Ransom۳۲ چگونه کار می‌کند؟

کاربران بدافزار، پرونده‌ی آلوده را در رایانامه و به عنوان اعلامیه، فاکتورهای پرداخت‌نشده و این‌گونه موارد قرار می‌دهند.
به محض این‌که نصب و راه‌اندازی شود، Ransom۳۲ به یک کارگزار کنترل و فرمان‌دهی روی شبکه‌ی تور وصل شده و متن مربوط به باج و آدرس بیت‌کوین را نمایش می‌دهد، قربانیان باید مبلغ مورد نظر را برای بازگرداندن پرونده‌هایشان به آن آدرس پرداخت کنند.
در حال حاضر کارشناسان Ransom۳۲ را فقط به عنوان یک بردار حمله در ویندوز شناسایی کرده‌اند، اما چارچوب NW.js می‌تواند روی همه‌ی سه سامانه‌ی ‌‌عامل اصلی اجرا شود.
در نتیجه، این باج‌افزار که جهت کار روی NW.js طراحی شده، از لحاظ تئوری می‌تواند سامانه‌‌ی عامل مک و لینوکس را هم هدف خود قرار دهد.

محافظت در برابر تهدید این باج‌افزار

در ادامه چندین مرحله برای محافظت در برابر تهدیدات باج‌افزاری آمده است که باید جدی گرفته شوند.
همیشه به صورت منظم از داده‌های مهم خود نسخه‌ی پشتیبان تهیه کنید.
از مجموعه‌ی ابزارهای امنیتی ضدبدافزاری به روز شده استفاده کنید.
پیوست رایانامه‌هایی که از منابع ناشناس هستند را باز نکنید.
از همه مهم‌تر، همیشه اینترنت را به صورت امن کاوش کنید.

منبع: thehackernews/asis.io