基于JS的勒索软件Ransom32利用Node.js感染用户

研究人员最近发现一款新型恶意软件，它在NW.js平台上进行编码，并通过JS感染用户。

NW.js之前名为Node-WebKit，它是一款强大的平台，允许开发人员通过Node.js模块来创建桌面应用程序。这个平台让程序员用同样的方式使用JS，而且具有同样的权限，可访问底层操作系统。

NW.js使用的是WebKit的分拆版本，也就是Chrome、Safari以及Opera使用的排版引擎，而且没有很多限制条件。虽然浏览器限制了JS代码能做的事情，但NW.js将这些限制条件删除并且允许JS开发人员与操作系统本身进行交互。

NW.js能够在所有的这三种主要操作系统上运行，也就是说在它之上进行编码的恶意软件从理论上来讲能够一次性针对所有的操作系统发动攻击。

通过Node.js感染并加密用户文件

安全专家表示，一款以Ransom32命名的新型勒索软件家族正在使用NW.js平台感染受害者计算机，并锁定用户文件。Ransom32仅通过垃圾邮件进行传播。恶意软件操作者将恶意文件放置在伪装成未付支票、到货通知等的邮件中，随后如果受害者将这些邮件下载并启动，那么就会跟命令和控制服务器取得联系，随后恶意软件操作者就会告知命令和控制服务器下载一种特殊类型的恶意软件即Ransom32。

这款勒索软件的有效负载是一种自解压WinRAR压缩文件包，包含多个文件以协助勒索软件攻陷用户计算机。

Ransom32出自专业人员之手

除了选择良好时机发动攻击外（12月19日才发现样本，而那时很多人都去休假了），Ransom32让人觉得好奇的还有使用了JS而不是C++代码来感染计算机。

安全研究人员表示，使用JS并非创建跨操作系统威胁的最佳方案，实际上可以选择其他框架如.Java或者.NET。不过选择NW.js的好处在于，其它所有的框架都需要已安装在系统上的“运行时间”，而NW.js不必依赖用户已经安装的框架。从目前的情况来看，Ransom32并没有将NW.js的作用全部发挥出来，但这只是时间的问题。未来出现由NW.js推动的勒索软件的几率取决于Ransom32的成功记录。

Ransom32加密性强

安全研究人员表示，Ransom32的文件大小是32MB，而其它勒索软件的规模很少有超过1MB的。此外，它跟CryptoLocker在加密强度方面及其相似，都具有强大的加密方法。目前Ransom32无法被解密。

地下黑市出现勒索软件即服务

安全研究人员将这款软件追溯至地下黑市的RaaS（勒索软件即服务）。勒索软件的作者可为任何人创建定制化的Ransom32勒索软件版本，支付方式是比特币。目前受感染的机器只有运行Windows的计算机。