JavaScript电子邮件附件可以携带有效的勒索软件

攻击者用一个名为RAA的新赎金软件程序感染计算机，即通过使用强大的加密锁定javascript中的r r，锁定用户“文件。

大多数用于Windows的恶意软件程序是用C组或C ++这样的编译编程语言编写的，并采用诸如.exe或.dll等便携式可执行文件的形式。其他人使用命令行脚本，例如Windows批处理或PowerShell。

它很难看出以基于Web的语言编写的客户端恶意软件，例如JavaScript，主要用于被浏览器解释。然而，Windows脚本主机，内置于Windows中的服务，可以自然地执行.js和其他脚本文件。

最近几个月攻击者已经采取了这种技术，Microsoft警告4月份包含JavaScript文件的恶意电子邮件附件中的飙升。上个月，来自ESET的安全研究人员警告了一波垃圾邮件，通过.js附件分配了锁定的ransomware。

在这两个情况下，JavaScript文件用作恶意软件下载器 - 旨在下载和安装传统恶意软件程序的脚本。然而，在RAA的情况下，整个勒索软件是用JavaScript编写的。

根据技术支持论坛BleepingComputer.com的专家，RAA依赖于CryPTOJS，是一个合法的JavaScript库，实现其加密例程。使用AES-256加密算法，实现似乎是稳定的。

一旦加密文件，RAA将扩展名为其原始名称。ransomware针对以下文件类型：.doc，.xls，.rtf，.pdf，.dbf，.jpg，.dwg，.cdr，.psd，.cd，.mdb，.png，.lcd，.zip，.rar和.csv。

“此时，没有办法免费解密文件，”BleepingComputer.com的创始人在博客帖子中说，劳伦斯·伯利姆斯说。

迄今为止，用户报告的RAA感染以俄语展示赎金说明，但即使威胁仅针对俄语用户目前，它只是一个时间问题，直到它更广泛地分发和本地化其他语言。

人们通过电子邮件发送用JavaScript编写的合法应用程序非常罕见，因此用户应该避免打开此类文件，即使它已括在.zip存档中。.js文件的原因很少在第一个地方存在于网站和Web浏览器之外。