RAA, el nuevo ransomware por email cifra tus datos usando Javascript

RAA, el nuevo ransomware por email cifra tus datos usando Javascript

Alberto García

Últimamente hemos visto que las compañías de seguridad están alertando que hay una creciente cantidad de malware en Internet. El ransomware es de los más peligrosos, ya que cifra todo el contenido de tu ordenador y el hacker te pide dinero a cambio de descifrarlo. La mayoría de este ransomware se está distribuyendo vía email.

La mayoría de malware para Windows está escrito en C o C++, que se compilan en archivos ejecutables individualmente como “.exe” o “.dll”. Hay otro tipo de malware que usa la línea de comandos de Windows como el Símbolo o Powershell.

Ransomware dinero o datos

Ahora, se ha descubierto un ransomware llamado RAA que está escrito en su totalidad en JavaScript. Lo peculiar de este malware es que JavaScript es un código utilizado principalmente por navegadores web. La mayoría de veces que se utiliza JavaScript con este fin, se usa para ejecutar un código que descarga el malware desde Internet. La novedad del RAA es que el propio ransomware está escrito dentro del mismo archivo JavaScript, es decir, en un archivo con formato “.js”.

Este ransomware es muy peligroso, ya que según han informado expertos del foro de seguridad BleepingComputer, RAA utiliza CryptoJS, un cifrado utilizado normalmente con fines lícitos para proteger archivos y contraseñas. Para ello, usa un algoritmo de cifrado AES de 256 bits, con lo que, a efectos prácticos, el contenido es imposible de descifrar si no se tiene la clave.

Ransomware

Una vez que se ejecuta el archivo “.js”, se crea un archivo .doc en la carpeta de Documentos, y se abre automáticamente para que el usuario crea que realmente ha abierto un archivo. La apariencia del archivo es de un archivo de Word corrupto, que el usuario tratará de leer y entender. Mientras el usuario está despistado con el documento, en segundo plano el ransomware empieza a buscar archivos con las extensiones más populares y que más problemas pueden causar al usuario atacado, tales como “doc, .xls, .rtf, .pdf, .jpg, .psd, .png, .zip, .rar y .csv.”. Una vez las encuentra, las cifra y les añade una extensión “.locked”. Es decir, si tenemos “Trabajo.pdf”, el malware lo dejará como “Trabajo.pdf.locked”.

Una vez ha acabado de cifrar todo el contenido, se crea un archivo en el escritorio llamado README[id del usuario atacado].rtf. En él, se encuentra un mensaje en ruso en el que el atacante pide “rescate” de unos 0.39 bitcoins, o 220 euros, para descifrar el contenido cifrado.

mensaje raa ransomware

Como siempre, recomendamos que no abráis los archivos adjuntos de ningún email que recibáis de algún desconocido, e incluso de conocidos. Revisad siempre el formato, el nombre del archivo, y que no haya nada raro.