هشدار در مورد باز کردن فایلهای Java Script ضمیمه شده در ایمیل: این فایلها ممکن است حاوی Ransomware یا باجافزار جدیدی تحت عنوان RAA باشند.
Attackerها قادرند با برنامه باج افزار جدیدی به نام RAA که مبتنی بر JavaScript میباشد به کامپیوترها آسیب رسانده و فایله ای کاربران را از طریق رمزگذاری قدرتمند قفل نمایند.
اکثر بدافزارهای ویندوز با زبان های برنامه نویسی جامعی مانند C یا ++C نوشته می شوند و فرم فایل های اجرایی Portable مانند exe. و dll. را میگیرند و سایر بدافزارها نیز از Command-Line scripting هایی مانند Batch Fileهای ویندوزی و یا PowerShell استفاده میکنند.
به ندرت دیده میشود که بدافزارهای سمت کاربر با زبانهای مبتنی بر وب نظیر JavaScript که اساسا توسط مرورگرها تفسیر میگردند، نوشته شوند. Windows Script Host به عنوان سرویس ارائه شده در ویندوز، میتواند به صورت Native فایلهای js. و همچنین سایر فایلهای اسکریپتشده را بلافاصله اجرا نماید.
علیرغم هشدارهای مایکروسافت در مورد فایلهای مخرب ضمیمه شده در ایمیل که حاوی فایلهای JavaScript میباشند، Attackerها از این تکنیک در ماههای اخیر استفاده نمودهاند. در طول ماه گذشته، متخصصان امنیت ESET در مورد موجی از اسپم ها، هشدار دادند که باجافزار Locky را از طریق فایلهای Attachشدهی js. انتشار میدهند.در هر دو مورد، فایلهای JavaScript به عنوان دانلود کننده های بدافزار (Malware Downloader) استفاده شدهاند. اسکریپتها برای دانلود و نصب یک برنامه بدافزار سنتی طراحی شدند، اما درمورد باج افزار RAA اینگونه نیست و به طور کامل در JavaScript نوشته میشود.
طبق نظر کارشناسان فنی گروه پشتیبانیِ BleepingComputer.com، باج افزار RAA برای اجرای فرآیند رمزگذاری از کتابخانه CryptoJS که یک کتابخانهی مُجاز جاوا اسکریپتی میباشد، استفاده مینماید. این باجافزار دستگاه قربانیان را بررسی نموده و پرونده های انتخابی را با استفاده از الگوریتم AES-256 رمزگذاری مینماید.
هنگامی که باج افزار RAA، فایلی را رمزگذاری میکند یک پسوند قفل شده را به اسم اصلی فایل اضافه مینماید. این باجافزار فایلهایی با پسوندهایی نظیر doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar , .csv. را هدف قرار میدهد.
Lawrence Abrams، بنیانگذار BleepingComputer.com اظهار داشت: در این شرایط هیچ راهی برای رمزگشایی فایل ها به صورت رایگان وجود ندارد.
آلودگیهای ایجاد شده توسط باج افزار RAA، ابتدا توسط کاربران کشور روسیه، با نمایش پیغام “Ransom Note” به زبان روسی گزارش شد. حتی اگر این موضوع صرفا کاربران روسی را هدف قرار دهد، تنها زمان برای توزیع گسترده و بومی این مشکل به سایر زبان ها حائز اهمیت میباشد.
ارسال برنامههای مجاز نوشته شده با JavaScript در ایمیل امری غیرعادی محسوب میشود، بنابراین کاربران باید از باز کردن چنین فایل هایی جدا خودداری کنند.