Russos? Novo ransomware em JS que sequestra PC e exige resgate é descoberto

2 min de leitura
Imagem de: Russos? Novo ransomware em JS que sequestra PC e exige resgate é descoberto
Avatar do autor

Um novo ransomware foi descoberto por especialistas em segurança digital. Chamado de RAA, o malware que “sequestra” o sistema do usuário foi desenvolvido 100% em JavaScript. O intimidador diferencial da ameaça está na sua forma de atuação: não é preciso mais abrir um arquivo executável para ativar a versão atualizada do ransomware, pois o vírus nada mais é que um arquivo JS padrão.

A maioria dos malwares é escrita em linguagens compiladas, tais como C ou C++, por exemplo. Como o RAA faz uso do JS, que se baseia na web e não possui mecanismos avançados de criptografia, qualquer internauta desavisado pode ser infectado. O software mal-intencionado congela o computador e exige um tipo de “resgate” para que o acesso aos dados pessoais possa ser feito novamente.

Distribuição

A distribuição de RAA está sendo realizada através de anexos de emails semelhantes a documentos doc., com nomes como mgJaXnwanxlS_doc_.js. Quando aberto, o programa “sequestra” o PC via processos de criptografia; cerca de US$ 250 (ou R$ 850) têm, então, de ser desembolsados para que o computador possa ser resgatado.

Uma mensagem em russo é aberta com instruções sobre como realizar o pagamento do "resgate"

Também após a execução, um documento em Word é aberto em russo, sugerindo a nacionalidade dos criminosos. Enquanto roda, o malware adiciona a extensão .locked aos arquivos – suas imagens.jpg, por exemplo, passariam a ser exibidas como imagens.jpg.locked. Os hackers orientam o usuário a enviar a ID do PC a um endereço de email e a fazer a transferência de US$ 250 para uma conta Bitcoin.

Segundo os pesquisadores, e também conforme informa o Bleeping Computer, esse tipo de ataque vem acontecendo há alguns meses. Como resultado, mensagens eletrônicas de alerta têm sido enviadas pela Microsoft desde abril.

Previna-se

A execução do RAA deve ser feita fora do navegador, o que requer concessões por parte do sistema. Por padrão, o Windows permite a reprodução de extensões JavaScript também a partir de outros locais, mas é possível desativar o Windows Script Host e evitar a eventual infecção pelo novo ransomware.

Alertas sobre o RAA têm sido enviados via email pela Microsoft

Atenção: este comando deve ser executado apenas por usuários experientes.

Acesse o editor de registros por meio do comando executar (clique com o botão direito sobre o Menu Iniciar ou aperte “Win” + “R”). Em seguida, digite “regedit” e siga pelas seguintes pastas:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings

Feito isso, clique no espaço em branco exibido pela pasta “Settings” e selecione a opção Novo > Valor QWORD (selecione os bits segundo as configurações da sua máquina).

Reinicie o PC para aplicar os ajustes

Nomeie a pasta como “Enabled” e, novamente por meio do botão direito, altere em “Modificar” os “Dados do Valor” para “0”. Reinicie sua máquina para aplicar as alterações.

Comentários

Conteúdo disponível somente online
Russos? Novo ransomware em JS que sequestra PC e exige resgate é descoberto