RAA - вымогательское ПО, полностью написанное на JavaScript


RAA (Bleeping Computer) - вредоносное ПО, написанное 100% на JavaScript, предназначенное для шифрования данных на компьютерах.

Новое вымогательское ПО не поставляется на систему в виде исполняемого файла, а является обычным JavaScript-сценарием.

Поскольку JavaScript не содержит средств шифрования данных по умолчания, вирусописатели стали использовать функционал библиотеки CryptoJS для шифрования файлов на системе с помощью алгоритма AES.

Распространяется RAA посредством спам-рассылки. Вредонос маскируется под документ Word. Пример названия файла - mgJaXnwanxlS_doc_.js.

Шифрование файлов на диске начинается после запуска JS сценария. За расшифровку злоумышленники требуют выкуп в размере $250.

Soobshenie ot novogo vimogatelya RAA

Все зашифрованные файлы получают расширение .locked. Вредонос шифрует файлы со следующими расширениями:

  • .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv.


Кроме шифрования вредонос также устанавливает на систему и шпионское ПО Pony, цель которого - кража паролей пользователей.

Файлы, ассоциированные с RAA:

%Desktop%\!!!README!!![id].rtf
%MyDocuments%\doc_attached_[random_chars]
%MyDocuments%\st.exe


Ключи реестра, ассоциированные с RAA:

HKCU\RAA\Raa-fnl
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @ = "[path_to_JS_file]"