Подробный анализ работы вируса-шифровальщика RAA опубликован ИБ-экспертами «ЛК». Это один из немногих вирусов-шифровальщиков полностью написанных на языке программирования JavaScript. Злоумышленники распространяют RAA посредством спам-рассылки, в которую вложен заражённый документ MS Word. После запуска вредоносный код шифрует все файлы документов, какие найдёт на дисках, и начинает вымогать за их восстановление биткойны в эквиваленте приблизительно $250.
Однако на этом деструктивные действия мошеннического ПО не заканчиваются. Как сообщают специалисты в шифровальщике RAA присутствует троянский Pony, задача которого состоит в краже с заражённого компьютера конфиденциальной информации. Будучи запущенным он сканирует и в случае успеха похищает:
- сохранённые пароли из браузеров;
- сохранённые логины и пароли из настроек популярных FTP-клиентов;
- настройки, включая пароли, популярных почтовых клиентов;
- данные электронных кошельков;
- личные SSL-сертификаты;
Собранная информация шифруется алгоритмом RC4 и отправляется на управляющий сервер злоумышленников. На каждом этапе RAA вычисляет контрольные суммы полученных данных:
- Производится расчёт контрольной суммы CRC незашифрованных данных
- К похищенным данным добавляется полученное значение CRC
- Похищенные данные шифруются по алгоритму RC4 с фиксированным ключом
- Производится расчёт CRC зашифрованных данных
- Рассчитанное значение добавляется к похищенным данным
- Генерируется случайный ключ длиной 4096 бит
- Похищенные данные шифруются по алгоритму RC4 с использованием сгенерированного ключа
- Готовые к отправке данные формируются и отправляются злоумышленникам
Таким образом, пара шифровальщик-троянец RAA-Pony представляет угрозу не только файлам документов, размещённых на дисках локального компьютера, но и сохранённым паролям почтовых и FTP-клиентов, в случае хищения которых у злоумышленников появляется возможность осуществить, например, взлом и рассылку спама с корпоративной почты или произвести дефейс сайта и разместить на нём вредоносным код.