Une page concernant les ransomwares sous la forme script de JavaScript.
Pour rappel JavaScript n’a rien à voir avec Java d’Oracle, il s’agit d’un langage de script utilisé notamment dans le rendu des pages WEB.
Plus d’informations sur JavaScript sur notre article : JavaScript : qu’est-ce que Javascript et sécurité et virus
Windows permet l’exécution de fichier JavaScript (et autres scripts type VBS et aussi plus récemment script PowerShell).
Ces scripts sont gérés par Windows Scripting Host.
Les campagnes de virus/malwares tirent partie de ces fonctionnalités pour envoyer des campagnes d’emails avec des pièces jointes en zip renfermant des scripts JavaScript ou VBS qui permettent l’infection des ordinateurs.
Ils existent aussi des infections amovibles en VBS.
Voici les dossiers relatives aux ransomwares et Malware Windows Scripting Host
et les JavaScript utilisés dans des campagne de Virus par Email : Email malicieux – Ransomware Locky
Table des matières
Les Ransomwares en JavaScript
Les scripts Nemucod avaient été très utilisés durant les campagnes TeslaCrypt puis par la suite pour le ransomware Locky.
> JS/TrojanDownloader.Nemucod : Ransomware
Une évolution notable de Nemucod, courant Mars 2016, avait été aussi la création d’un ransomware JavaScript, voir la fiche : Ransomware .crypted (Crypto-Ransomware)
En réalité, le premier ransomware JavaScript est Ransom32
Plus récemment, un nouveau ransomware JavaScript a fait son apparition, ce dernier se nomme Ransomware RRA.
J’ai fait une vidéo sur ce ransomware :
Ransomware RRA qui chiffre les documents et ajoute l’extension .locked
Ce dernier est en langue russe. Ces derniers ne sont généralement pas mis en ligne directement mais plutôt téléchargé par des malwares/virus tiers pour monétiser.
Par exemple, le ransomware Nemucod était livré avec Kovter, RRA lui téléchargé et installé par le malware Pony (Pony est un Trojan Banker).
Une analyse technique plus poussée du ransomware RRA est disponible : RAA – An entirely new JS ransomware delivering Pony malware
Conclusion sur les Ransomware en JavaScript
Reste que ces ransomwares ne sont jamais très virulent par rapport à d’autres comme Cerber ou Locky, certainement car limité.
Mais cela montre encore une fois que les malwares sous forme de scripts sont très actives, soit en porte d’entrée, soit directement comme ransomware.
Désactiver ou filtrer Windows Scripting Host devient très urgent alors que nous recommandions déjà de le désactiver en 2015.
Les futures évolutions devraient faire que nous allons probablement avoir aussi une forte utilisation de script Powershell qui d’ailleurs est massivement utilisés par les Malware FileLess.
Pour se protéger des scripts malicieux, suivre le dossier : Comment se protéger des scripts malveillants sur Windows
Liens
- Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)
- Ransomware JavaScript
- Anti-Ransomware : Est-ce vraiment utile ?
- Comment activer la protection Anti-Ransomware de Windows 10, 11
- Comment activer le dispositif d’accès contrôlé aux dossiers de Windows 10, 11
- Le chiffrement (cryptage) des données : comment ça marche et pourquoi l’utiliser
- Historique et évolutions des attaques de Ransomware de 2014 à 2021