Ransomware JavaScript

javascript_logoUne page concernant les ransomwares sous la forme script de JavaScript.
(Pour rappel JavaScript n’a rien à voir avec Java d’Oracle, il s’agit d’un langage de script utilisé notamment dans le rendu des pages WEB)

Windows permet l’exécution de fichier JavaScript (et autres scripts type VBS et aussi plus récemment script PowerShell).
Ces scripts sont gérés par Windows Scripting Host.
Les campagnes de virus/malwares tirent partie de ces fonctionnalités pour envoyer des campagnes d’emails avec des pièces jointes en zip renfermant des scripts JavaScript ou VBS qui permettent l’infection des ordinateurs.
Ils existent aussi des infections amovibles en VBS.

Voici les dossiers relatives aux ransomwares et Malware Windows Scripting Host

et les JavaScript utilisés dans des campagne de Virus par Email : Email malicieux – Ransomware Locky

Les scripts Nemucod avaient été très utilisés durant les campagnes TeslaCrypt puis par la suite pour le ransomware Locky.
JS/TrojanDownloader.Nemucod : Ransomware
Une évolution notable de Nemucod, courant Mars 2016, avait été aussi la création d’un ransomware JavaScript, voir la fiche : Ransomware .crypted (Crypto-Ransomware)

En réalité, le premier ransomware JavaScript est Ransom32

Plus récemment, un nouveau ransomware JavaScript a fait son apparition, ce dernier se nomme Ransomware RRA.
J’ai fait une vidéo sur ce ransomware :

Ransomware_RRA

Ransomware RRA qui chiffre les documents et ajoute l’extension .locked

Ransomware_RRA_extension_locked

Ce dernier est en langue russe. Ces derniers ne sont généralement pas mis en ligne directement mais plutôt téléchargé par des malwares/virus tiers pour monétiser.
Par exemple, le ransomware Nemucod était livré avec Kovter, RRA lui téléchargé et installé par le malware Pony (Pony est un Trojan Banker).
Une analyse technique plus poussée du ransomware RRA est disponible : RAA – An entirely new JS ransomware delivering Pony malware

Reste que ces ransomwares ne sont jamais très virulent par rapport à d’autres comme Cerber ou Locky, certainement car limité.
Mais cela montre encore une fois que les malwares sous forme de scripts sont très actives, soit en porte d’entrée, soit directement comme ransomware.

Désactiver ou filtrer Windows Scripting Host devient très urgent alors que nous recommandions déjà de le désactiver en 2015.
Les futures évolutions devraient faire que nous allons probablement avoir aussi une forte utilisation de script Powershell qui d’ailleurs est massivement utilisés par les Malware FileLess.

Pour se protéger des scripts malicieux, suivre le dossier : Comment se protéger des scripts malicieux sur Windows
Marmiton a justement été créé dans le but de permettre de se protéger de ces malwares Windows Scripting Host :

Cliquez sur la bannière pour télécharger Marmiton

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 340 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *