O JS.Crypto (Ransom32) é o Primeiro Ransoware Baseado no JavaScript que Tem a Capacidade de Infectar Vários Sistemas Operacionais

Todos nós sabemos muito bem quão implacáveis os trapaceiros cibernéticos e os hackers são quando se trata de inventar novas e agressivas formas de malware. A cada dia, uma infinidade de novas ameaças de malware são criadas; algumas são quase inofensivas, enquanto outras são monstros destrutivos que devoram os arquivos de um computador infectado.

Em seus mais recentes esforços, os trapaceiros cibernéticos e os hackers produziram uma desagradável ameaça, um ransomware que é o primeiro de seu tipo a utilizar o frame work do JavaScript, o qual lhe permite infectar os sistemas do Windows, Mac e Linux. Essa ameaça chamada JS.Crypto Ransomware ou Ransom32, está sendo vendida nos cantos escuros da rede como um ransomware-como-um-serviço. O acordo oferecido por aqueles que espalham essa nova ameaça de ransomware é receber, em troca, 25% dos lucros obtidos com o resgate, que é coletado praticamente da mesma forma usada por recentes ameaças de ransomware que criptografam arquivos.

Nós sabíamos e previmos que o ano novo iria trazer consigo várias, novas e agressivas ameaças de malware exibindo métodos de infecção avançados como nunca vimos antes. No entanto, não suspeitamos que tais ameaças pudessem emergir nos primeiros dias de 2016.

O JS.Crypto Ransomware é o primeiro desse tipo de ameaça. Primeiramente identificado por usuários de computador vitimados e discutido em fóruns de segurança popular, o JS.Crypto, ou Ransom32, foi descrito como uma ameaça que atacava apenas os computadores que executavam o Windows. Depois que os pesquisadores de segurança começaram a mergulhar mais fundo nas funções do JS.Crypto Ransomware, então concluiu-se que essa ameaça utiliza o NW.js framework, o qual permite que um aplicativo seja escrito uma vez, mas possa ser utilizado em vários sistemas operacionais ou plataformas. Essencialmente, o JS.Crypt Ransomware não só pode infectar as máquinas que executam o Windows mas também aquelas que executam os sistemas operacionais do Mac X e do Linux.

Até agora, o JS.Crypto Ransomware só foi visto em uma forma que ataca os computadores do Windows no formato de um arquivo executável .exe. Embora o JavaScript regular tenha certas limitações dentro dos navegadores da rede, o JS.Crypto Ransomware usa o JavaScript, principalmente a variação cross-platform do NW.js (Node Webkit), que faz com que ele possa ser empacotado para outros sistemas operacionais e permite um maior controle e interação.

Os fundamentos e o interface de um usuário vitimado pelo JS.Crypto Ransomware não é muito diferente dos usados por outras ameaças recentes de ransomware que criptografam arquivos. Essas ameaças irão criptografar os arquivos e oferecer um método que o usuário do computador deve usar para descriptografa-los pagando uma taxa de resgate. Uma das diferenças apresentadas pelo JS.Crypto Ransomware consiste em ele ser oferecido como um ransomware-como-serviço, o que permite uma negociação com os inventores do Tox Ransomware e a percentagem que eles ganham por cada vítima que paga. O significado disso é que os autores do JS.Crypto Ransomware vão querer uma parte dos pagamentos de resgate.

Atualmente, o JS.Crypto Ransomware (Ransom32) é transmitido através de anexos de mensagens de e-mail de spam inteligentes. Muitos dos bandidos cibernéticos que estão executando as campanhas que iniciam a propagação do JS.Crypto Ransomware estão usando um servidor escondido na rede do Tor onde eles podem obter um JS.Crypto Ransomware personalizado e adaptado a métodos de ataque específicos.

Um dos problemas aparentes que estão dentro do JS.Crypto Ransomware, o qual pode causar lentas taxas de propagação, é o enorme tamanho do seu arquivo, 32 MB. Com um arquivo desse tamanho, muitas vítimas em potencial podem se recusar a transferir o anexo. O tamanho da maioria das ameaças de ransomware fica em torno de apenas 1 MB; esse tamanho é pequeno o suficiente para não despertar qualquer suspeita nas vítimas em potencial. Até agora, essa grande falha manteve o JS.Crypto Ransomware sob controle, não deixando que ele fosse propagado tão rápidamente quanto outras ameaças de ransomware que vimos há pouco tempo atrás. No entanto, o JS.Crypto Ransomware pode ser potencialmente personalizado e atualizado, o que pode levar a infecções generalizadas.