Menu Fermer

Ransomware JavaScript

Une page concernant les ransomwares sous la forme script de JavaScript.
Pour rappel JavaScript n’a rien à voir avec Java d’Oracle, il s’agit d’un langage de script utilisé notamment dans le rendu des pages WEB.
Plus d’informations sur JavaScript sur notre article : JavaScript : qu’est-ce que Javascript et sécurité et virus

Windows permet l’exécution de fichier JavaScript (et autres scripts type VBS et aussi plus récemment script PowerShell).
Ces scripts sont gérés par Windows Scripting Host.
Les campagnes de virus/malwares tirent partie de ces fonctionnalités pour envoyer des campagnes d’emails avec des pièces jointes en zip renfermant des scripts JavaScript ou VBS qui permettent l’infection des ordinateurs.
Ils existent aussi des infections amovibles en VBS.

Voici les dossiers relatives aux ransomwares et Malware Windows Scripting Host

et les JavaScript utilisés dans des campagne de Virus par Email : Email malicieux – Ransomware Locky

javascript_logo

Les Ransomwares en JavaScript

Les scripts Nemucod avaient été très utilisés durant les campagnes TeslaCrypt puis par la suite pour le ransomware Locky.
JS/TrojanDownloader.Nemucod : Ransomware
Une évolution notable de Nemucod, courant Mars 2016, avait été aussi la création d’un ransomware JavaScript, voir la fiche : Ransomware .crypted (Crypto-Ransomware)

En réalité, le premier ransomware JavaScript est Ransom32

Plus récemment, un nouveau ransomware JavaScript a fait son apparition, ce dernier se nomme Ransomware RRA.
J’ai fait une vidéo sur ce ransomware :

Ransomware_RRA

Ransomware RRA qui chiffre les documents et ajoute l’extension .locked

Ransomware_RRA_extension_locked

Ce dernier est en langue russe. Ces derniers ne sont généralement pas mis en ligne directement mais plutôt téléchargé par des malwares/virus tiers pour monétiser.
Par exemple, le ransomware Nemucod était livré avec Kovter, RRA lui téléchargé et installé par le malware Pony (Pony est un Trojan Banker).
Une analyse technique plus poussée du ransomware RRA est disponible : RAA – An entirely new JS ransomware delivering Pony malware

Conclusion sur les Ransomware en JavaScript

Reste que ces ransomwares ne sont jamais très virulent par rapport à d’autres comme Cerber ou Locky, certainement car limité.
Mais cela montre encore une fois que les malwares sous forme de scripts sont très actives, soit en porte d’entrée, soit directement comme ransomware.

Désactiver ou filtrer Windows Scripting Host devient très urgent alors que nous recommandions déjà de le désactiver en 2015.
Les futures évolutions devraient faire que nous allons probablement avoir aussi une forte utilisation de script Powershell qui d’ailleurs est massivement utilisés par les Malware FileLess.

Pour se protéger des scripts malicieux, suivre le dossier : Comment se protéger des scripts malveillants sur Windows