RAA : un ransomware tout JavaScript

Le par  |  14 commentaire(s)
JS-logo

Dans la famille des ransomwares, RAA a pour particularité d'être entièrement codé en JavaScript et ne nécessite pas de téléchargement.

Même s'il n'est pas encore très répandu, le ransomware RAA interpelle. Il n'est en effet pas comme les autres. C'est un rançongiciel qui est " 100 % pur JavaScript " comme l'écrit un chercheur en sécurité chez Sophos. Il va ainsi plus loin que Ransom32.

La bestiole avait déjà été repérée et analysée par BleepingComputer.com qui avait déterminé que RAA s'appuie sur la bibliothèque JavaScript CryptoJS afin d'implémenter une routine de chiffrement. Il utilise l'algorithme AES-256.

RAA a pour cible des fichiers avec les extensions .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar et .csv. Lorsqu'ils sont infectés, ils arborent une extension .locked. Pour un déchiffrement, il est demandé dans la langue russe une rançon de 0,39 bitcoin (l'équivalent de 230 € en ce moment).

RAA-demande-rançon
Sophos explique que le code JavaScript " ne télécharge pas le ransomware, c'est le ransomware ". C'est une approche différente par rapport à des attaques où des scripts JavaScript ont pu être utilisés pour télécharger et installer des malwares.

Actuellement, RAA est diffusé via des emails et en tant que pièce jointe faisant croire à un fichier doc. Il peut notamment avoir un nom du type mgJaXnwanxlS_doc_.js. S'il est ouvert sur un ordinateur Windows, l'hôte de script indépendant Windows Based Script Host est utilisé pour exécuter le code.

RAA a été découvert par les chercheurs en sécurité @jameswt_mht et @benkow_ found qui l'ont baptisé ainsi. Il n'existe pas pour le moment un outil de déchiffrement gratuit. Par ailleurs, il n'est pas interdit de penser que RAA sera adapté à d'autres langues que le russe.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1905523
Bah il faut quand même télécharger et exécuter le .js avec Windows. En lisant le titre j'ai pensé qu'il pouvait sortir de la sandbox d'un navigateur pour chiffrer les fichiers de la machine.... c'est juste un ransomware de plus en fait.
Le #1905527
Si on doit retenir une chose:

''Actuellement, RAA est diffusé via des emails et en tant que pièce jointe faisant croire à un fichier doc. Il peut notamment avoir un nom du type mgJaXnwanxlS_doc_.js. S'il est ouvert sur un ordinateur Windows, l'hôte de script indépendant Windows Based Script Host est utilisé pour exécuter le code.''

Donc rester vigilant sur l'origine et le contenu des mails reçus.

Le #1905528
Morpheus005 a écrit :

Si on doit retenir une chose:

''Actuellement, RAA est diffusé via des emails et en tant que pièce jointe faisant croire à un fichier doc. Il peut notamment avoir un nom du type mgJaXnwanxlS_doc_.js. S'il est ouvert sur un ordinateur Windows, l'hôte de script indépendant Windows Based Script Host est utilisé pour exécuter le code.''

Donc rester vigilant sur l'origine et le contenu des mails reçus.


Oui, comme toujours quoi... Enfin, j'pense que sur GNT, on est tous attentifs à ce genre de truc.
Le #1905538
Un cancer de plus, merci les russes ça fait plaisir
Le #1905560
Rymix a écrit :

Un cancer de plus, merci les russes ça fait plaisir


Blague annulée.
Le #1905571
Morpheus005 a écrit :

Si on doit retenir une chose:

''Actuellement, RAA est diffusé via des emails et en tant que pièce jointe faisant croire à un fichier doc. Il peut notamment avoir un nom du type mgJaXnwanxlS_doc_.js. S'il est ouvert sur un ordinateur Windows, l'hôte de script indépendant Windows Based Script Host est utilisé pour exécuter le code.''

Donc rester vigilant sur l'origine et le contenu des mails reçus.


Il va falloir commencer à former la population sur ce type de risques ... Soit à travers des émissions télévisées ou par la radio.
Le #1905577
Les antivirus devraient faire leur boulot surtout.
Quand tu vois des fichiers se renommer à la pelle en .crypt,
ils seraient bon d'analyser les appels de fonctions ou d'autres executables qui font se boulot la.
C'est ptet des ingénieurs viré en Russie de chez Kaspersky qui cherchent quand même a faire rentrer du blé sur leur compte.

Vive le capitalisme vive l'inégalité, et si ça change pas ça sera de pire en pire ce genre de chose.
Le #1905584
Asgardcfr a écrit :

Les antivirus devraient faire leur boulot surtout.
Quand tu vois des fichiers se renommer à la pelle en .crypt,
ils seraient bon d'analyser les appels de fonctions ou d'autres executables qui font se boulot la.
C'est ptet des ingénieurs viré en Russie de chez Kaspersky qui cherchent quand même a faire rentrer du blé sur leur compte.

Vive le capitalisme vive l'inégalité, et si ça change pas ça sera de pire en pire ce genre de chose.


Est-ce qu'il n'y aurait pas un conflit avec certains outils de chiffrement ?
Le #1905589
skynet a écrit :

Morpheus005 a écrit :

Si on doit retenir une chose:

''Actuellement, RAA est diffusé via des emails et en tant que pièce jointe faisant croire à un fichier doc. Il peut notamment avoir un nom du type mgJaXnwanxlS_doc_.js. S'il est ouvert sur un ordinateur Windows, l'hôte de script indépendant Windows Based Script Host est utilisé pour exécuter le code.''

Donc rester vigilant sur l'origine et le contenu des mails reçus.


Il va falloir commencer à former la population sur ce type de risques ... Soit à travers des émissions télévisées ou par la radio.


pure perte de temps et ruine de l'ame....il faut arreter d'assister les Français pour tout....

Aux entreprises de conscientiser leurs employés sur ce point. Pour un usage personnel, le bon sens doit etre de rigueur.

Regarde, il est bien écrit sur un paquet de clops que fumer tue...aucun impact !!
Le #1905603
Morpheus005 a écrit :

skynet a écrit :

Morpheus005 a écrit :

Si on doit retenir une chose:

''Actuellement, RAA est diffusé via des emails et en tant que pièce jointe faisant croire à un fichier doc. Il peut notamment avoir un nom du type mgJaXnwanxlS_doc_.js. S'il est ouvert sur un ordinateur Windows, l'hôte de script indépendant Windows Based Script Host est utilisé pour exécuter le code.''

Donc rester vigilant sur l'origine et le contenu des mails reçus.


Il va falloir commencer à former la population sur ce type de risques ... Soit à travers des émissions télévisées ou par la radio.


pure perte de temps et ruine de l'ame....il faut arreter d'assister les Français pour tout....

Aux entreprises de conscientiser leurs employés sur ce point. Pour un usage personnel, le bon sens doit etre de rigueur.

Regarde, il est bien écrit sur un paquet de clops que fumer tue...aucun impact !!


De mon côté je forme mes voisins, mes enfants. C'est sûr qu'une formation globale serait difficile à mettre en place, et n'aurait pas beaucoup de public... jusqu'aux prochains chiffrement de leurs données perso/pro
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]