Security Kurzmeldung: RAA Ransomware – Jetzt in JavaScript

Ransomware in JavaScript

Die digitale Geiselnahme hat scheinbar guten Zulauf in der kriminellen Szene, denn ein neuer Verbrecher kommt auf die Bühne. RAA Ransomware ist da und zeigt sich in seiner Pracht voll und ganz in JavaScript. Unüblich bisher, aber auch möglich und eigentlich ganz geschickt. Ständig predigen wir Security Menschen darüber, dass man bloß keine vermeintlichen Office oder PDF Dateien öffnen soll. Da musste ja jemand kommen, der den Nutzer wieder in die Dunkelheit führt. Woher soll der normale User wissen, was eine Datei mit der Endung JS sein kann?

So zieht also seit kurzem auch RAA seine Opfer zu sich und versucht ca. 250 US Dollar für die Dateien zu erpressen. Wie immer ohne Erfolgsgarantie. Aber was soll man ohne Backup auch machen? Deshalb hier noch einmal kurz alle Tipps, damit euch RAA und andere Ransomware nichts anhaben kann:

  1. Backup
  2. Schattenkopien von Dateien (eine andere Art Backup)
  3. Wiederherstellungspunkte in Windows (wieder andere Backupart

Unterm Strich ist es das Backup, in welcher Form auch immer, dass euch den Tag rettet und den Geldbeutel schont. Für die Mozilla Firefox User unter euch: NoScript Plugin installieren und aktivieren!

Aussichten?

JavaScript eignet sich sehr gut für solche Software. Es läuft praktisch überall gleich. Fertig geschriebene Software ist nicht abhängig von DLLs, die installiert sein müssen. Es muss lediglich die notwendige Library mitgeschickt werden. Beispielsweise die Verschlüsselungs Bibliothek, wie sie bei Ransomware gern dabei ist. Aber es bleibt abzuwarten was noch passiert und ob überhaupt so viele User auf RAA hereinfallen. Bitte auch darauf Acht geben, dass ihr nach einer Infektion keine Logins mehr durchführt, bei denen eine Passworteingabe erfolgen muss. RAA lädt einen Keylogger nach.

Eine Kleinigkeit hätte ich noch: Würde diese Software auch unter Linux & Co. funktionieren? Wer kennt die Antwort? Ich nicht, da ich keine Sample von RAA habe, aber ihr habt vielleicht mehr Erfahrungen. Alles in den Kommentar bitte, dann erweitern wir den Artikel gemeinsam.

Update

Vielen Dank an Günter Born für den Nachtrag in den Kommentaren. Man ließt wohl häufig über Dateien mit .js Endung und viele meinen, das ist doch sicher JavaScript. Tatsächlich wird die Datei vom Windows Scripting Host ausgeführt. Damit lässt sich über diesen Infektionsweg Programmcode ausführen, der außerhalb des Browsers Schaden anrichten kann. Günter hat sich die Mühe gemacht die Software näher zu beleuchten (sehr zu empfehlen!):

Zusammenfassende Lösung

Den Windows Scripting Host kann man mit einer Änderung der Regsitry verändern. Folgender Schlüssel sollte auf 0 gestellt werden:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled

Bücher zum Thema

 

Beitragsbild von Jon S – Newspapers B&W verändert wieder verwendet gemäß Creative Commons License (CC-BY 2.0)

Artikel teilen:

2 Gedanken zu „Security Kurzmeldung: RAA Ransomware – Jetzt in JavaScript

  • 22. Juni 2016 um 14:11
    Permalink

    Bitte den Original-Artikel bei Bleeping-Computer lesen – oder in meinen Blog-Post reinschauen. JavaScript != JScript -> http://goo.gl/ycIIW9

    Damit erübrigen sich viele der obigen Fragen.

    Antwort
    • 22. Juni 2016 um 16:50
      Permalink

      Vielen Dank Günter für deine zusätzlichen Hinweise. Ich habe den Artikel damit erweitert.

      Antwort

Kommentar verfassen