Neues Jahr, Neuer Krypto-Trojaner
Neuer bedrohlicher Erpressungstrojaner "Ransom32" aufgetaucht!
Der neu gesichtete Erpressungstrojaner Ransom32 ist der erste Schädling seiner Art, der als JavaScript-Applikation daherkommt. Ransom32 soll auf dem NW.js-Framework aufbauen, über das Entwickler Desktop-Applikationen, auf JavaScript-Basis, mit Cross-Plattform-Ausrichtung erstellen können. Die mit dem NW.js-Framework erstellten Desktop-Applikationen sollen wesentlich tiefer in das Betriebssystem eingreifen können, als eine JavaScript-Anwendung, die in einer Sandbox abgeschottet in einem Webbrowser läuft.
Da es sich bei NW.js um ein legitimes Framework handelt, soll aktuell kaum ein Viren-Scanner anschlagen. Denn ein Großteil der Scanner stufen die Signaturen der mit dem Framework erzeugten Anwendungen nicht als bösartig ein. Die Ransomware gibt sich als Webbrowser Chrome aus. Die ausführbare Datei namens chrome.exe soll nach dem Entpacken des Archives Ransom32 automatisch starten und mit der Verschlüsselung der Dateien (AES 128 Bit im CTR-Modus) auf dem Computer beginnen. Zudem nistet sich die Malware im Autostart von Windows ein.
Quelle: Heise.de
