A vállalatokat veheti célba az új RAA zsarolóvírus

A Kaspersky Lab szakértői az RAA zsarolóvírus új verzióját fedezték fel. Az új trójai, amelyet teljes mértékben JScript programozási nyelven írtak, egy zip archívumot küld az áldozatnak, amiben egy rosszindulatú .js file van. A frissített verzió offline is tud titkosítani anélkül, hogy kapcsolatot létesítene a vezérszerverrel. A Kaspersky szakértői úgy vélik, hogy ezzel a verzióval a csalók inkább vállalatokat fognak célba venni. A Kaspersky szakértői szerint: a rosszindulatú email egy megrendelés elmaradt kifizetésének adatait tartalmazza. Hogy még hihetőbb legyen az email, a csalók megemlítik, hogy biztonsági okokból, a csatolt file jelszóval (az archívum jelszava az email végén található) és aszimmetrikus titkosítással is védve van.

Az ezt követő fertőzési folyamat hasonlít a korábbi verzió azonos folyamataira. Az áldozat futtat egy .js file-t, amely elindítja a rosszindulatú folyamatot. Hogy elterelje az áldozat figyelmét, a trójai egy kamu szöveges dokumentumot jelenít meg, ami random karaktereket tartalmaz. Amíg az áldozat értelmezni próbálja a látottakat, a háttérben az RAA a gépen található file-okat titkosítja. Végül a zsarolóvírus egy váltságdíjat követelő üzenetet ment az asztalra és az összes titkosított file új .locked kiterjesztést kap. Az előző verzióhoz képest a fő különbség az, hogy az RAA vírusnak nem kell az irányító szerverrel kommunikálni ahhoz, hogy titkosítsa a file-okat az áldozat számítógépen.