Ransom32: první multiplatformní (Windows-Linux-Mac) ransomware využívající javascript

4. ledna 2016

Šíří se pro malware obvyklým způsobem – prostřednictvím nevyžádané e-mailové zprávy snažící se uživatele zmanipulovat k otevření infikované přílohy. Zpráva obsahuje samorozbalovací archiv RAR, který využívá skriptovací jazyk WinRAR pro konfiguraci automatického spuštění malwaru po startu počítače. Poté dojde ke spojení s „Command and control“ serverem prostřednictvím zabudovaného vlastního TOR klienta. Následuje zašifrování souborů a zobrazení požadavku na výkupné. Šifra není triviálně prolomitelná jinak než použitím brutální síly, jednalo by se tedy o časově velmi náročnou operaci. Prakticky tedy není jiné cesty k dešifrování než splnit podmínky vyděračů. Peníze vám samozřejmě může ušetřit časté a pravidelné zálohování všeh cenných informací. Prevencí je osvěta uživatelů ohledně bezpečné manipulace se soubory z ne zcela důvěryhodných zdrojů, pomoci může též kvalitní antimalwarová SMTP proxy s pravidelně aktualizovanými signaturami. Úplný popis na blogu bezpečnostního experta Fabiana Wosara z firmy Emsisoft.