Onderzoekers hebben de allereerste ransomware voor Windows ontdekt die volledig in JavaScript is gemaakt en met een aantal kleine aanpassingen ook op Mac- en Linuxcomputers kan werken. De ransomware heet Ransom32 en wordt als 'Ransomware as a Service' (Raas) aangeboden.
Via deze dienst kunnen cybercriminelen eenvoudig een eigen versie van de ransomware downloaden en verspreiden. De makers van Ransom32 geven afnemers het advies om niet al te hoge bedragen voor het ontsleutelen van versleutelde bestanden te vragen, omdat slachtoffers anders niet zullen betalen. Een kwart van het bedrag dat slachtoffers betalen gaat naar de makers. Bij het genereren van een Ransom32-versie kunnen cybercriminelen voor verschillende opties kiezen, zo meldt anti-virusbedrijf Emsisoft, dat de ransomware analyseerde.
Zo is er een optie die de ransomware bestanden laat versleutelen op een manier die weinig rekenkracht van de processor vraagt, zodat slachtoffers niet doorhebben dat er iets mis is, waarna er pas een waarschuwing wordt getoond. In deze waarschuwing staat dat de bestanden zijn versleuteld en er losgeld voor het ontsleutelen moet worden betaald. Een andere optie laat de waarschuwing juist als eerste zien, waarna het versleutelen pas begint.
NW.js
De ransomware zelf maakt gebruik van NW.js. Dit is een framework waarmee normale desktopprogramma's voor Windows, Linux en Mac OS X via JavaScript kunnen worden ontwikkeld. Het is gebaseerd op de populaire Node.js- en Chromiumprojecten. Waar JavaScript, niet te verwarren met Java, zich normaal binnen de browser bevindt en niet echt interactie met het systeem kan hebben, biedt NW.js meer controle en interactie met het onderliggende besturingssysteem. Daardoor kan de JavaScriptcode bijna alles wat andere programmeertalen zoals C++ of Delphi kunnen.
Het voordeel van NW.js is dat ontwikkelaars redelijk eenvoudig hun webapplicaties tot normale desktopprogramma's kunnen omzetten. Daarbij kan dezelfde JavaScriptcode op verschillende platformen worden gebruikt. Een NW.js-applicatie hoeft dus slechts een keer geschreven te worden en is daarna bruikbaar op Windows, Linux en Mac OS X. Dit houdt in dat Ransom32 in theorie ook voor Linux en Mac OS X kan worden aangepast. Op dit moment zijn er nog geen versies aangetroffen die op deze twee platformen werken.
Een ander voordeel van NW.js is dat het een legitiem framework is. Twee weken nadat de ransomware voor het eerst verscheen wordt die nog altijd slecht door anti-virussoftware herkend, aldus Emsisoft. Vooralsnog kunnen versleutelde bestanden niet worden ontsleuteld, zo meldt Bleeping Computer. De ransomware kan zich op verschillende manieren verspreiden, zoals e-mailbijlagen of drive-by downloads, afhankelijk waar de afnemers van de dienst voor kiezen.
Bron: Security.nl