Experții Kaspersky Lab au descoperit o nouă versiune a programului de tip ransomware RAA, scrisă în întregime în Jscript. Un nou troian le trimite victimelor o arhivă zip care conține un fișier malware în format .js. Versiunea actualizată poate să cripteze și offline, fără să fie nevoie să solicite o cheie de la serverul de comandă. Experții companiei cred că, folosind această versiune de malware, infractorii vor viza mai mult companiile decât utilizatorii individuali.
“Programul ransomware RAA și-a făcut apariția în peisajul amenințărilor cibernetice în iunie 2016 și a fost primul ransomware scris doar în Jscript. În luna august, experții Kaspersky Lab au descoperit o nouă versiune. La fel ca precedentele, aceasta este distribuită pe e-mail, dar acum codul malware este ascuns într-o arhivă zip protejată cu parolă. Măsura a fost implementată de infractori în special pentru a păcăli soluțiile AV, având în vedere dificultatea mai mare de a examina conținutul unei arhive protejate”, se arată în comunicat.
După analiza e-mail-urilor, experții Kaspersky Lab au ajuns la concluzia că infractorii vizează mai mult companiile, cu e-mail-uri infectate care conțin informații despre un ordin de plată întârziat, din partea unui furnizor. Pentru ca e-mail-urile să pară autentice, explicația lor era aceea că, din motive de securitate, documentul din anexă a fost protejat (parola pentru arhivă era oferită la finalul e-mail-ului), inclusiv prin criptare asimetrică, suplimentar. Această declarație pare ridicolă pentru utilizatorii de Internet avizați, dar este plauzibilă pentru victimele credule. Procesul ulterior de infectare este similar cu cel folosit la versiunea anterioară de RAA ransomware.