Mucho cuidado si recibes archivos JavaScript por correo electrónico, pueden ser ransomware

Escrito por Roberto Adeva
Seguridad
0

Pues parece que el ransomware sigue dando que hablar y se está afianzando como la principal amenaza hoy en día para nuestros ordenadores. Después de oir mucho sobre diferentes versiones de este tipo de malware en los últimos meses, un nuevo ransomware ha sido descubierto por investigadores de seguridad y en esta ocasión tiene una característica muy particular.

Se trata de un malware que está desarrollado 100% con código JavaScript, un lenguaje utilizado principalmente por los navegadores web y que no es utilizado para crear malware. Ya en su día vimos un ransomware llamado Ransom32 que se creó utilizando NodeJs  y que fue empaquetado dentro de un fichero ejecutable, pero a diferencia de éste, el nuevo ransomware no se entrega en este formato sino que se hace a través de un archivo .js estándar.

Ransomware RAA en JavaScript

100% desarrollado en JavaScript

Lo cierto es que resulta extraño ver como un malware puede estar desarrollado con este lenguaje puesto que no incluye ninguna función criptográfica avanzada que permita cifrar los archivos del equipo infectado, sin embargo, los desarrolladores de RAA, que es como ha sido bautizado este ransomware, han echado mano de la biblioteca CryptoJS para utilizar el estándar de cifrado AES.

Según hemos sabido gracias a nuestros compañeros de ADSLZone, el ransomware RAA está siendo distribuido a través de un archivo adjunto en mensajes de correo electrónico que pretender ser documentos. Sin embargo, tienen nombres del tipo mgJaXnwanslS_doc.js y aunque a simple vista parezca archivos .doc, son ficheros JavaScript .js.

En el momento que se hace doble clic para abrir el archivo adjunto en el mail, el ransomware RAA generará un documento de Word falso en la carpeta Mis Documentos y que se abrirá automáticamente para hacer creer al usuario que ese es el archivo adjunto. Como se puede ver, el documento parece estar corrupto y mientras que la víctima trata de recuperar el archivo dañado, RAA comenzará a escanear todas las unidades disponibles en búsqueda de determinados tipos de archivos para cifrarlos.

Los archivos serán cifrados con bajo una extensión .locked y es capaz de cifrar todos aquellos que tengan extensión .doc, .xls, .rtf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar o .csv. Por último, y como parte del tipo de malware de este RAA, el ransomware creará un un fichero .rtf con el nombre !!!Readme !!! en el escritorio y que incluirá una nota donde se indican los pasos a seguir para el rescate de los archivos.

Quizás te interese…

Vuelve el ransomware Crysis con nuevas capacidades y aún más peligroso

Una Universidad víctima de ransomware se ve obligada a pagar más de 17.000 euros por sus datos

¿Cómo nos podemos proteger del ransomware?

Compártelo. ¡Gracias!