JavaScriptフレームワークで作成されたランサムウェア登場、SaaS型で身代金額や感染時のコメントなど攻撃者がカスタム可能

　すべてJavaScriptで書かれたランサムウェア「Ransom32」を確認したと、オーストリアのセキュリティ企業Emsisoftや、米SANS Internet Storm Ceneterなどがアナウンスした。

Bitcoinのアドレスを記載するだけで、そのアドレスに送金するランサムウェアを入手できる

　Ransom32は、JavaScriptで書かれたアプリケーションをデスクトップ環境で実行できるフレームワーク「NW.js」をベースとしたランサムウェア。現時点ではWindowsのみターゲットにしているが、NW.jsの特徴として、異なるプラットフォームでJavaScriptを実行できるため、LinuxやMac OSも脅威の対象になり得るとしている。また、NW.js自体は合法的なフレームワークであり、現時点では、各アンチウイルスソフトでの検知率も高くないという。

　Ransom32は、攻撃者に対してSaaS型で提供されおり、Torネットワーク内に隠されたサーバーにアクセスし、利用者のBitcoinアドレスを入力することで、そのアドレスに対して身代金を送金するランサムウェアをダウンロードできる。また、管理画面もあり、マルウェアをインストールする際に表示する偽のメッセージや、要求するBitcoinの額などを変更可能。どの程度システムに感染し、どの程度の人が身代金を支払ったかも確認できる。身代金が支払われると、Ransom32側が25％の手数料を受け取る。

ランサムウェアは、身代金額や偽のメッセージなどをカスタム可能

ランサムウェアが感染すると表示される身代金ノート

　ダウンロードしたランサムウェアは、「chrome.exe」という名称で実行可能なファイルとしてパッケージ化されており、中にはNW.jsを利用したランサムウェアのアプリケーションとマルウェアを実行するためのフレームワークが含まれている。Ransom32に感染すると、「%AppData%\Chrome Browser」ディレクトリに自身をコピーし、「ChromeService」という名称のショートカットをスタートアップフォルダに生成する。その後Torネットワークに接続するためのクライアントを立ち上げ、Bitcoinアドレスと暗号化に使用する暗号鍵を取得するために、Torネットワーク上のポート番号85に隠されたC＆Cサーバーに接続するという。