Re: Otkriven ransomware pisan u Javascriptu
U zadnje vrijeme učestali su mejlovi sa zipovanim JavaSript fajlovima. Jedaom sam promijenio ekstenziju iz JS u TXT i šaljem Vam CODE na analizu....
Da li se iza ovog krije Ransomware?
Ovo je tema za komentiranje sadržaja Bug.hr portala. U nastavku se nalaze komentari na "Otkriven ransomware pisan u Javascriptu".
16 godina
offline
Re: Otkriven ransomware pisan u Javascriptu
Najbolje bi bilo to uploadati (u .js formatu) na https://www.virustotal.com/
I ovdje na analizu izvršavanja https://malwr.com/submission/
Inače bude tako da je većina coda obfuscated (zamaskirana tj. varijable, funkcije itd imaju bezvezna imena da bude teže ručno analizirati code) pa je najbolje pomoću ona gore 2 alata provjeriti.
Evo sad sam kopirao taj code u notepad i čim sam ga spremio u obliku .js Avast ga je detektirao kao JS_Downloader [Trj]
Imaš i na ovom Malwarebytes blogu više o Locky i sličnim ransomware koji dolaze preko maila u obliku .js
01101110 01101010 01101111 01101110 01101010 01101001
Re: Otkriven ransomware pisan u Javascriptu
njonji kaže...
Najbolje bi bilo to uploadati (u .js formatu) na https://www.virustotal.com/
I ovdje na analizu izvršavanja https://malwr.com/submission/
Inače bude tako da je većina coda obfuscated (zamaskirana tj. varijable, funkcije itd imaju bezvezna imena da bude teže ručno analizirati code) pa je najbolje pomoću ona gore 2 alata provjeriti.
Evo sad sam kopirao taj code u notepad i čim sam ga spremio u obliku .js Avast ga je detektirao kao JS_Downloader [Trj]
Imaš i na ovom Malwarebytes blogu više o Locky i sličnim ransomware koji dolaze preko maila u obliku .js
I kod mene ga na laptopu 360 Total Security prepoznaje kao virus i briše ga. Čak je i ovu TXT ekstenziju obrisao. Pa sam 360 TS stavio na disable dok sam uradio upload na ova dva servisa radi testa.
Šaljem Vam linkove sa rezultatima testa.
Šta znače ovi rezultati?
https://www.virustotal.com/hr/file/1c1dcd5f4fba22f324f9765d41603828f779702852a65034118d345b972039d0/analysis/
https://malwr.com/analysis/MzIwZmQ2NDFiNDY3NDc5ODg3ZmE3MGRiYjViNTJkNjg/
16 godina
offline
Otkriven ransomware pisan u Javascriptu
Znači da je maliciozan, to je fajl koji ili direktno raspakira ransomware iz svog coda ili ga skine sa interneta i pokrene (zato downloader).
Na Virustotal ima taj scan od prije tjedan dana, danas ga već više antivirusa prepoznaje (kao kod mene Avast), a na Malwr se taj JS pokreće u sandboxu (tj. virtualnoj mašini) i pokaže ti rezultat, šta je sve pokušao pokrenuti, na koje IP adrese i URLove spojiti, kojim je registry ključevima i fajlovima pristupao itd.
Piše i crveno označeno da je pokušao odgoditi izvršavanje na dugo vrijeme (taktika za zavarati jednostavne analize) i stavio sebe da se pokreće prilikom paljenja kompjutera...
Ukratko - malware.
01101110 01101010 01101111 01101110 01101010 01101001