Ransom32 е Java базиран и използва NW.js. Този крипто вирус или още, както са известни този тип вируси ransomware е пръв по рода си.
NW.js беше известен преди като Node-WebKit и е много мощна платформа, която позволява на разработчиците да създават приложения за компютри чрез Node.js модули.
Той се явава като олекотена версия на WebKit, който е енджин на много от популярните към момента интернет браузъриq като Google Chrome, Opera или Safari. Важно е да се отбележи обаче, че NW.js няма ограниченията на WebKit. Браузърите ограничават нещата, които може да прави JavaScript, а NW.js премахва тези ограничения. По този начин на разработчика се дава възможност да работи директно с операционната система.
Още повече, че NW.js може да работи на трите най-използвани операционни системи Windows, Linux и Mac OS X, което на теория означава, че Ransom32 може да заразява безпроблемно всякакви ОС и да стане първият кросплатформен вирус.
Ransom32 действа на същия принцип, както всички вируси към този момент, така че поне тук няма нищо ново.
Потребителят ще бъде подканен да свали файл от спам имейл, който ще бъде замаскиран като неплатена сметка например или куриерско известие. Ако файлът бъде свален и опитан да бъде отворен, той се свързва веднага със сървър, където му се казва какъв малуер да свали, в случая Ransom32.
Специално в случая на Ransom32 файлът е саморазархивиращ се архив, който съдържа файлове, които спомагат за заразяването на компютъра на жертвата.
В момента антивирусната защита срещу Ransom32 е почти нулева. В страницата на [url=https://www.virustotal.com/en/file/01d3 … 451824388/“ target=“_blank]VirusTotal[/url] файлът бива засечен като вирус от едва три енджина.
Според специалистите потенциалът на новия криптовирус тепърва ще се развие. Особено тревожен е фактът, че той не се нуждае от инсталиран рънтайм на машината, като .NET Framework или Mono например и е твърде възможно да се появят още много Node.js базирани криптовируси за в бъдеще.
Това, което може да помогне на потребителите е размерът от 22 MB на новия криптовирус. Той е много голям, в сравнение с този на останалите криптовируси, които е обикновено около 1 MB. Някои потребители дори може да си помислят, че това е аматьорски опит за източване на пари, но не е. Други потребители може и въобще да не забележат размера, защото днешната скорост на интернет позволява подобен файл да бъде свален за секунда-две.
Fabian Wosar, специалист от Emsisoft, цитиран от Softpedia, казва че на месец му се налага да преглежда множество криптовируси. Когато е преглеждал Ransom32 той е забелязал, че има почти пълно сходство с оригиналния CryptoLocker и от криптографска гледна точка те работят почти идентично. Ако може да се говори за криптографски наследник на CryptoLocker, то това със сигурност е Ransom32, казва той.
Wosar е декриптирал множество криптовируси от старото поколение като DecryptorMax, Gomasom и Radamant, но към момента никой, дори той, не е успял да декриптира CryptoLocker, CryptoWall и съответно Ransom32, които използват почти идентичен механизъм на криптиране.
Fabian Wosar е успял и да проследи откъде идва Ransom32 – Dark Portal, криптирана Tor мрежа. Тук авторът на криптовируса предлага възможност на различни хора да се регистрират, да свалят вируса, да си направят своя собствена версия на него и да започнат да го разпространяват към други потребители.
Печалбата се изпраща на Биткоин адрес, където авторът прибира своята част от парите, а останалите се изпращат към хората, които са помогнали за разпространението му.
Засега само Windows машини се заразяват, но нищо чудно в бъдеще да видим и представители на други операционни системи, които биват атакувани от Ransom32.
