资安业者Emsisoft本周揭露了史上首款以JavaScript撰写的勒索软体Ransom32,Ransom32以NW.js程式来包装恶意档案,方便展开跨平台运作,而且采用软体即服务(Software as a Service,SaaS)的商业运作模式来吸引骇客。
Emsisoft的**研究人员Fabian Wosar在登入Ransom32服务并下载恶意程式之后发现了Ransom32古怪之处,相较于其他鲜少超过1MB的勒索软体,Ransom32的档案大小高达22MB。进而引起了研究人员的注意。
根据研究人员解析,Ransom32的档案中含有一个chrome.exe执行档,乍看之下很像是Google的Chrome浏览器,但它缺乏正确的数位签章,而且版本资讯也与Chrome浏览器不同,其实它是个NW.js应用程式,含有实际的恶意程式码以及执行恶意程式所需的框架。
NW.js为一结合Node.js与Chromium专案的JavaScript应用程式开发框架,可用来打造支援Windows、Mac OS X与Linux的应用程式,有别于浏览器对JavaScript程式码的沙箱执行限制,NW.js移除了相关的限制,并允许程式直接与作业系统互动。NW.js除了允许程式在不同的平台上运作之外,也让开发人员更容易把网路程式转成桌面程式。
因此,虽然Wosar所发现的Ransom32是锁定Windows平台,但他认为理论上Ransom32很容易就可转向攻击Mac OS X与Linux。
Wosar向Softpedia解释,NW.js的*大优势在于它所需的.Net或Java运行环境都已经安装在各个系统上了,虽然目前Ransom32尚未发挥NW.js的所有潜能,但它很轻易就能办到,而且可能成为其他骇客集团效法的对象。
另一方面,有鉴于NW.js是个合法的框架与程式,在现身两周后还是只有极少数的防毒产品有能力辨识它,包括Emsisoft、AVware与VIPRE。
McAfee Labs去年9月即曾警告,加密使用者装置资料以要求赎金的勒索软体成长非常快速,骇客之间不但已经形成专业的支援架构,而且技术日益精进,甚至进阶到锁定企业的网路资料库与备份。Wosar则说,防范勒索软体的**要务仍是完善的备份策略,其次才是采用有效的防毒软体。
公安机关备案号:
