不要运行Java附件,这可能是勒索软件。
攻击者正使用一种被称为 RAA的新型勒索软件感染计算机,该软件完全由Java写成,可使用强加密锁住用户的文件。
大多数Windows上的恶意软件都是使用C和C++等编译程序语言编写的,它们的出现形式往往是.exe或者.dll这样的可迁移可执行文件。还有一些使用Windows批处理或者PowerShell这样的命令行脚本。
使用Java这样基于Web的语言编写用户端恶意软件并不多见,Java的主要使用场景是浏览器。不过,Windows的一项自带服务Windows Host能够在盒子外本地化地执行.js和其它脚本文件。
攻击者在过去的几个月里使用了这项技术,而微软在今年四月份已经警告称,包含Java的恶意电子邮件数量大幅增加。上个月,来自ESET的安全研究人员警告了一波通过.js附件传播Locky勒索软件的垃圾邮件。
上面两个例子中,Java文件的功能都是恶意软件下载器:它们被设计用来下载并安装常见的恶意软件程序。对RAA而言,整个勒索软件都是用Java写的。
技术支持论坛BleepingComputer.com上的专家表示,RAA依靠合法的Java库CyptoJS来实现加密功能。加密看上去非常稳定,使用了AES-256算法。
在给文件加密之后,RAA会在其原文件名之后添加一个.locked扩展。 这种勒索软件针对的是如下文件类型:.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar and .csv。
BleepingComputer.com的创始人Lawrence Abrams在一篇博客中说:“目前还没有办法不花钱解锁这些文件。”
目前用户上报的RAA感染中,勒索软件给出的勒索信息是用俄语写的,但即使该软件目前的目标只有俄语用户,它迟早也会针对更多语言区的人们展开攻击。
一般而言,人们通过电子邮件发送合法Java的情况非常少见,因此用户应当避免打开此类文件,哪怕它是包含在.zip压缩文件里的。如果.js文件不在网站和浏览器环境中出现,那肯定另有原因。
本文转自d1net(转载)
