Приложение-вымогатель RAA создано полностью на JavaScript

Новое семейство приложений-вымогателей под названием RAA использует исключительно код на JavaScript для инфицирования компьютеров и шифрования файлов на них. RAA не является первым вымогателем на JavaScript, однако до него такие приложения не использовали исключительно JavaScript.

В январе Фабиан Восар из компании Emsisoft обнаружил Ransom32, первое написанное на JavaScript семейство вымогателей. Для его написания использовалась среда Node.js, а распространение велось в виде исполняемого файла. RAA же распространяется в виде файла с расширением .js. Его прикрепляют к электронным письмам, выдавая за документ Office. Такие файлы на компьютерах чаще всего запускаются через Windows Script Host (WSH), что даёт вредоносному коду доступ к системным утилитам. Обфускация кода старается скрыть его природу от исследователей и не дать помешать его выполнению.

RAA включает в себя библиотеку CryptoJS. Этот комплект для JavaScript добавляет в него поддержку криптографических функций, именно он позволяет RAA шифровать файлы. Также RAA содержит функции для скачивания и установки программы типа Infostealer под названием Pony. Это семейство собирает пароли в браузере и прочую информацию  на компьютере. Pony обычно используется в системе как разведчик, зачастую работая совместно с банковскими троянами, но не в случае с RAA.

RAA шифрует файлы 16 типов и отображает приведённое выше сообщение. Пока оно обнаружено только на русском языке. Размер выкупа составляет 0,39 биткоинов (около $250), говорится об использовании алгоритма шифрования AES-256, для получения ключа нужно связаться с автором вымогателя по электронной почте. К настоящему времени взломать RAA не удалось.