セキュリティ研究者は、JavaScript ベースのサービスとしてのランサムウェアの最初の例を発見したと考えており、これを Ransom32 と名付けました。
Emsisoft の Fabian Wosar 氏はここで、自己解凍型 WinRAR アーカイブに、ランサムウェアの重労働を担う NW.js でパッケージ化されたアプリケーションが埋め込まれていると書いています。
Wosar氏によると、NW.jsはNode.jsとChromiumをベースにしたアプリケーション開発用のJavaScriptフレームワークです。JavaScriptの通常は厳格なサンドボックス化を回避するため、サンドボックスの影響を受けずにWebアプリケーションをデスクトップ向けに再利用できます。
「NW.js は、基盤となるオペレーティング システムに対するより高度な制御とインタラクションを可能にし、C++ や Delphi などの「通常の」プログラミング言語で実行できることのほとんどすべてを JavaScript で実行できるようにします」と彼は書いています [どうやら、誰かがこれを良いアイデアだと思ったようです – El Reg ]。
NW.js は正当なフレームワークであるため、シグネチャベースのマルウェア検出に適合させることも困難です (同社は、他のすべての企業とは異なり、この攻撃からユーザーを保護できるという通常の見解を示しています)。
Wosar 氏は Ransom32 を Windows の攻撃ベクトルとしてのみ認識しているが、NW.js は理論的にはこの悪質なウェアを Mac OS X や Linux システム向けにパッケージ化できるようにする。
Emsisoft が分析したコピーでは、Ransom32 がインストールされ起動されると、Tor 上のコマンド アンド コントロール サーバーに接続し、被害者がファイルの回復のために支払うことになっている Bitcoin アドレスを交渉し、身代金要求メッセージを表示しました。
Emsisoft がキャプチャした Ransom32 の「you are pwned」警告
使用される暗号化は 128 ビット キーの AES です。®
