O Nemucod se Une à Crescente Lista de Ransomwares Usando o JavaScript para Infectar Computadores
A enormidade de problemas que foram apresentados ao mundo da segurança de computadores devido à infiltração de ransomware é enorme. O ransomware assumiu a liderança como o tipo de malware mais prolífico que encontramos nos últimos dois anos. Durante a progressão natural do malware, os autores de ransomware estão evoluindo suas ameaças e utilizando JavaScript e PHP para infectar computadores com mais eficiência. O ransomware mais recente a empregar esse método é o Nemucod, uma variante que já entregou o que pode baixar malware adicional em um computador infectado.
Recentemente, relatamos o caso do RAA Ransomware usando JavaScript para se disfarçar, para infectar secretamente computadores e inicializar suas ações de criptografia de dados. Além disso, houve outras ameaças que usam JavaScript em seus processos de infecção, como o Ransom32 e o JS.Crypto Ransomware .
Os esforços incansáveis do Nemucod e de outro ransomware na utilização do JavaScript proporcionaram ao malware uma maneira de bloquear arquivos, além de baixar e instalar outros arquivos e executáveis maliciosos. Outros aspectos do Nemucod Ransomware descobertos pelos pesquisadores em sua iteração mais recente são a capacidade de usar o PHP em conjunto com o JavaScript, que faz parte dos arquivos php baixados que contêm várias dependências.
A codificação JavaScript do Nemucod inicializa um arquivo php em um arquivo .exe que contém o código malicioso do ransomware que pode verificar o disco rígido de um sistema infectado. A partir daí, o Nemucod separará pastas confidenciais e criptografará arquivos com extensões específicas, como .crypted.
Atualmente, o Nemucod Ransomware é uma ameaça efetiva que criptografa dados. No entanto, os pesquisadores acreditam que o processo de criptografia do Nemucod pode usar engenharia reversa para desbloquear arquivos que foram criptografados. No entanto, ainda não existe um decodificador fora da chave de descriptografia oferecida pela Nemucod através de suas instruções de notificação de resgate.
O ponto em comum de Nemucod e outro ransomware, apesar de utilizar JavaScript e PHP, é que ainda exige um pagamento substancial para desbloquear um computador infectado. De fato, a Nemucod pede que seja pago um valor de 0,3707 Bitcoin, o que equivale a cerca de US $245 USD. Após a notificação do resgate Nemucod, o arquivo php da ameaça cria um arquivo de texto que serve como notificação do resgate e o coloca na área de trabalho do sistema infectado.
À medida que o ransomware continua a evoluir , descobrimos que as ameaças mais antigas são tornadas novas novamente com as funções atualizadas e a nova capacidade de utilizar o JavaScript. Suspeitamos que continuaremos vendo a propagação de ransomware que utiliza JavaScript e PHP para descobrir novas funções e métodos para evitar a detecção inicial ou conduzir suas ações de criptografia de arquivos de uma maneira mais eficiente. De qualquer maneira, o ransomware JavaScript e PHP usando novos recursos, os cibercriminosos estarão na vanguarda da disseminação dessas ameaças por meio de métodos convencionais, principalmente por anexos de email de spam.