RAA: Javascript-Ransomware kopiert auch Passwörter

Ransomware kommt neuerdings im Paket: Die RAA-Schadsoftware ist komplett in Javascript geschrieben und installiert zusätzlich einen Passworttrojaner. Das Erpressergeld wurde an den hohen Bitcoin-Kurs angepasst.

Artikel veröffentlicht am ,
Das Javascript-Logo
Das Javascript-Logo (Bild: Chris Williams/Javascript)

Die Malware-Experten von Bleepingcomputers berichten über eine neue Ransomware, die komplett in Javascript geschrieben wurde. Die Schadsoftware mit dem Namen RAA wird über Mailanhänge verbreitet und installiert, wenn sie vom Benutzer ausgeführt wird. Außerdem installiert das Programm zusätzlich einen Trojaner, der Passwörter kopiert, mit dem Namen Pony. Der in Bitcoin zu zahlende Erpressungsbetrag wurde an den derzeit hohen Bitcoin-Kurs angepasst.

Stellenmarkt
  1. Project Management Officer (w/m/d)
    Bau- und Liegenschaftsbetriebes des Landes Nordrhein-Westfalen (BLB NRW), Düsseldorf
  2. Specialist (m/w/d) Performance Management Web Analytics
    Vodafone GmbH, Düsseldorf
Detailsuche

RAA wird als .Js-Anhang verteilt. Um die Verschlüsselungsfunktionen durchzuführen, bedient sich die Malware der CryptoJS-Bibliothek. Diese verwendet AES, um die Dateien zu verschlüsseln. Allen Dateien wird die Endung .locked angehängt.

Außerdem vernichtet RAA alle Schattenkopien der Dateien. Diese Kopien lassen sich bei einigen Ransomware-Varianten nutzen, um Dateien ohne Zahlung des Erpresserbeitrages wiederherzustellen. Dazu wird lediglich ein spezielles Anzeigeprogramm wie der Shadow Explorer benötigt.

Es wird eine Word-Datei mit Fehlermeldung geöffnet

Führt der Benutzer die Datei aus, wird eine Word-Datei geöffnet, die eine Fehlermeldung anzeigt. Währenddessen wird die Verschlüsselung der Dateien durchgeführt. Nicht verschlüsselt werden Dateien in den Programm- und Systemordnern. Außerdem wird der Passworttrojaner Pony installiert.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

Auf dem Desktop wird eine Datei mit dem Namen !!!README!!![id].rtf abgelegt, in der Anweisungen zur Wiederherstellung der Dateien zu finden sind. Diese ist derzeit in russischer Sprache, bei Erfolg der Kampagne dürfte aber demnächst auch eine lokalisierte Version erscheinen. Nutzer werden aufgefordert, 0,39 Bitcoin, derzeit etwa 250 Euro, zu bezahlen. Der Bitcoin-Kurs ist in den vergangenen Wochen deutlich angestiegen. Ende Mai lag der Kurs bei rund 400 Euro, derzeit sind es etwa 670 Euro für einen Bitcoin.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Schnarchnase 21. Jun 2016

Das würde ich so nicht stehenlassen. Bevor man sämtliche Rechte mittels sudo einzelnen...

serra.avatar 21. Jun 2016

naja wir müssen da schon unterscheiden: privat und geschäftlich! Also ich weis ja nicht...

Anonymer Nutzer 20. Jun 2016

Kommt geil, wenn Du mal ins KH musst, weil Du einen Crash gebaut hast, nicht ansprechbar...

Wallbreaker 20. Jun 2016

Das ist der falsche Ansatz. Du willst einen I/O-Filter, Andere meinen, vor jeder...

GottZ 20. Jun 2016

jo und ich hab den sourcecode. alleine in diesem kleinen auszug sehe ich schon 6 zeilen...



Aktuell auf der Startseite von Golem.de
Tesla Model Y im Test
Die furzende Familienkutsche

Teslas Model Y ist der Wunschtraum vieler Model-3-Besitzer. Reichweite und Raumangebot überzeugen im Test - doch der Autopilot ist nicht konkurrenzfähig.
Ein Test von Friedhelm Greis

Tesla Model Y im Test: Die furzende Familienkutsche
Artikel
  1. Games Workshop: Warhammer-40K-Modell für 30.000 Euro auf Ebay versteigert
    Games Workshop
    Warhammer-40K-Modell für 30.000 Euro auf Ebay versteigert

    Der Youtuber Squidmar hat wochenlange Arbeit in den Warhammer-40K-Thunderhawk gesteckt. Das hat sich gelohnt: Er erzielt einen Rekordpreis.

  2. MX Keys Mini: Logitech bringt kompakte Flachtastatur für PCs und Macs
    MX Keys Mini
    Logitech bringt kompakte Flachtastatur für PCs und Macs

    Die Logitech MX Keys Mini verzichtet auf den Nummernblock. Dafür ist die flache Tastatur umso kompakter. Es gibt sie für PC und Mac.

  3. Thinkpad E14 Gen3 im Test: Ryzen-Laptop mit grandiosem Preis-Leistungs-Verhältnis
    Thinkpad E14 Gen3 im Test
    Ryzen-Laptop mit grandiosem Preis-Leistungs-Verhältnis

    Schon das Thinkpad E14 Gen2 war exzellent, bei der Gen3 aber hat Lenovo die zwei Schwachstellen - Akku und Display - behoben. Bravo!
    Ein Test von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Aktion: Win 10-Laptop oder PC kaufen, kostenloses Upgrade auf Win 11 erhalten • Bosch Professional & PC-Spiele von EA günstiger • Nur noch heute PS5-Gewinnspiel • Alternate (u. a. Asus TUF Gaming-Monitor 23,8" FHD 165Hz 179,90€) • 7 Tage Samsung-Angebote [Werbung]
    •  /