Apesar do ransomware ter explodido em uma série de diferentes famílias e variantes desde o começo de 2016, pesquisadores ainda descobriram um novo ransomware bastante “único” do seu próprio jeito. Segundo as descobertas publicadas no site BleepingComputer, o ransomware chamado de RAA é composto inteiramente de JavaScript, e tem se propagado via anexos em emails que fingem ser arquivos doc com nomes como mgJaXnwanxlS_doc_.js. Depois que o JavaScript é aberto, ele criptografa arquivos na máquina afetada e exige um resgate de cerca de US$250 para recuperar os arquivos.
Dizem que as infecções do RAA exibem a nota de resgate em russo, porém, é apenas uma questão de tempo até ele ser distribuído mais amplamente e localizado para outras línguas. Além disso, o ransomware também afeta o computador da vítima, instalando o Pony, um malware bem conhecido que rouba senhas, incorporado em um arquivo JavaScript. Esse malware consegue coletar senhas no navegador e outras informações do usuário de uma máquina infectada e, é normalmente usado por hackers para coletar informações críticas em sistemas infectados. O Pony é similar aos cavalos de Troia bancários, mas seu comportamento não se manifestou no RAA.
O ransomware RAA é considerado único por que é raro ver malware do lado do cliente escrito em linguagens da web como o JavaScript, que são principalmente projetadas para interpretação pelos navegadores. A Microsoft já tinha avisado anteriormente sobre um aumento de anexos maliciosos em emails contendo arquivos JavaScript, em abril de 2016. No mês seguinte, pesquisadores de segurança alertaram sobre emails spam que enviam e distribuem o ransomware Locky em anexos .js. Ambos, Locky e RAA, usam arquivos JavaScript como baixadores de malware – feitos para baixar e instalar um programa tradicional de malware. Porém, com o RAA todo o ransomware é escrito em JavaScript.
ransomware foi inicialmente descoberto por dois pesquisadores de segurança, @JAMES_MHT e @benkow_. Segundo eles, o ransomware RAA criptografa arquivos usando um código de uma biblioteca de código aberto, bastante fácil de usar. A biblioteca de código aberto chamada CryptoJS lida com algoritmos de criptografia como AES, DES, etc. Por exemplo, o RAA verifica a máquina da vítima e criptografa arquivos selecionados com AES-256. Semelhante a outros tipos de ransomware, o RAA acrescenta um ‘.locked’ no final dos nomes dos arquivos. Seus alvos são imagens Word, Excel e Photoshop, formatos de armazenamento como arquivos zip e rar, arquivos de programa de economia, arquivos Windows, AppData e arquivos Microsoft.
“Neste ponto, não há como decodificar os arquivos de graça”, disse em seu blog Lawrence Abrams, fundador do Bleeping. Entretanto, os usuários são aconselhados a evitar abrir anexos com os nomes de arquivos mencionados acima, mesmo que estejam em arquivo .zip.
