RAA: Javascript-Ransomware kopiert auch Passwörter

Ransomware kommt neuerdings im Paket: Die RAA-Schadsoftware ist komplett in Javascript geschrieben und installiert zusätzlich einen Passworttrojaner. Das Erpressergeld wurde an den hohen Bitcoin-Kurs angepasst.

Artikel veröffentlicht am ,
Das Javascript-Logo
Das Javascript-Logo (Bild: Chris Williams/Javascript)

Die Malware-Experten von Bleepingcomputers berichten über eine neue Ransomware, die komplett in Javascript geschrieben wurde. Die Schadsoftware mit dem Namen RAA wird über Mailanhänge verbreitet und installiert, wenn sie vom Benutzer ausgeführt wird. Außerdem installiert das Programm zusätzlich einen Trojaner, der Passwörter kopiert, mit dem Namen Pony. Der in Bitcoin zu zahlende Erpressungsbetrag wurde an den derzeit hohen Bitcoin-Kurs angepasst.

Stellenmarkt
  1. Product Owner (m/w/d) Website & Digital Business
    Dortmunder Energie- und Wasserversorgung GmbH DEW21, Dortmund
  2. IT-Administrator WAN/LAN Rollout (w/m/d)
    Dataport, Bremen
Detailsuche

RAA wird als .Js-Anhang verteilt. Um die Verschlüsselungsfunktionen durchzuführen, bedient sich die Malware der CryptoJS-Bibliothek. Diese verwendet AES, um die Dateien zu verschlüsseln. Allen Dateien wird die Endung .locked angehängt.

Außerdem vernichtet RAA alle Schattenkopien der Dateien. Diese Kopien lassen sich bei einigen Ransomware-Varianten nutzen, um Dateien ohne Zahlung des Erpresserbeitrages wiederherzustellen. Dazu wird lediglich ein spezielles Anzeigeprogramm wie der Shadow Explorer benötigt.

Es wird eine Word-Datei mit Fehlermeldung geöffnet

Führt der Benutzer die Datei aus, wird eine Word-Datei geöffnet, die eine Fehlermeldung anzeigt. Währenddessen wird die Verschlüsselung der Dateien durchgeführt. Nicht verschlüsselt werden Dateien in den Programm- und Systemordnern. Außerdem wird der Passworttrojaner Pony installiert.

Golem Karrierewelt
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    07.-09.11.2022, virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    07.-09.11.2022, Virtuell
Weitere IT-Trainings

Auf dem Desktop wird eine Datei mit dem Namen !!!README!!![id].rtf abgelegt, in der Anweisungen zur Wiederherstellung der Dateien zu finden sind. Diese ist derzeit in russischer Sprache, bei Erfolg der Kampagne dürfte aber demnächst auch eine lokalisierte Version erscheinen. Nutzer werden aufgefordert, 0,39 Bitcoin, derzeit etwa 250 Euro, zu bezahlen. Der Bitcoin-Kurs ist in den vergangenen Wochen deutlich angestiegen. Ende Mai lag der Kurs bei rund 400 Euro, derzeit sind es etwa 670 Euro für einen Bitcoin.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Schnarchnase 21. Jun 2016

Das würde ich so nicht stehenlassen. Bevor man sämtliche Rechte mittels sudo einzelnen...

serra.avatar 21. Jun 2016

naja wir müssen da schon unterscheiden: privat und geschäftlich! Also ich weis ja nicht...

Anonymer Nutzer 20. Jun 2016

Kommt geil, wenn Du mal ins KH musst, weil Du einen Crash gebaut hast, nicht ansprechbar...

Wallbreaker 20. Jun 2016

Das ist der falsche Ansatz. Du willst einen I/O-Filter, Andere meinen, vor jeder...



Aktuell auf der Startseite von Golem.de
Für 44 Milliarden US-Dollar
Musk will Twitter nun doch übernehmen

Tesla-Chef Elon Musk ist nun doch bereit, Twitter für den ursprünglich vereinbarten Preis zu kaufen. Offenbar will er einen Prozess vermeiden.

Für 44 Milliarden US-Dollar: Musk will Twitter nun doch übernehmen
Artikel
  1. Die große Umfrage: Das sind Deutschlands beste IT-Arbeitgeber 2023
    Die große Umfrage
    Das sind Deutschlands beste IT-Arbeitgeber 2023

    Golem.de und Statista haben 23.000 Fachkräfte nach ihrer Arbeit gefragt. Das Ergebnis ist eine Liste der 175 besten Unternehmen für IT-Profis.

  2. Monitoring von Container-Landschaften: Prometheus ist nicht alles
    Monitoring von Container-Landschaften
    Prometheus ist nicht alles

    Betreuer von Kubernetes und Co., die sich nicht ausreichend mit der Thematik beschäftigen, nehmen beim metrikbasierte Monitoring unwissentlich einige Nachteile in Kauf. Eventuell ist es notwendig, den üblichen Tool-Stack zu ergänzen.
    Von Valentin Höbel

  3. Roadmap: CD Projekt kündigt neues Cyberpunk und mehrere Witcher an
    Roadmap
    CD Projekt kündigt neues Cyberpunk und mehrere Witcher an

    Project Polaris wird eine Witcher-Saga, Orion das nächste Cyberpunk 2077 und Hadar etwas ganz Neues: CD Projekt hat seine Pläne vorgestellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 3 Spiele für 49€ • Saturn Gutscheinheft • Günstig wie nie: LG OLED 48" 799€, Xbox Elite Controller 2 114,99€, AOC 28" 4K UHD 144 Hz 600,89€, Corsair RGB Midi-Tower 269,90€, Sandisk microSDXC 512GB 39€ • Bis zu 15% im eBay Restore • MindStar (PowerColor RX 6700 XT 489€) [Werbung]
    •  /