為了開發更多攻擊目標,同時提高受害者支付贖金的比率,勒索病毒 Ransomware (勒索軟體/綁架病毒)作者正試圖放棄原本熟悉的勒索病毒家族,開發出各種最新技巧的家族。
RAA 勒索病毒即是一例 (趨勢科技命名:RANSOM_JSRAA.A),絕大多數的勒索病毒都是採取執行檔 (.exe、.dll) 的形態,但 RAA 卻是少數完全採用腳本 (script) 語言撰寫的勒索病毒,而且是採用瀏覽器專用的腳本語言。
根據趨勢科技的分析,此勒索病毒變種是以 JScript (而非 JavaScript) 所撰寫,這一點某些報導也曾經指出。(這兩種語言和 Java 一點關係也沒有,Microsoft 知識庫文章對這三者的分別有簡短的說明。) JScript這個腳本語言是專為 Windows 系統所設計,並由 Microsoft Internet Explorer (IE) 瀏覽器當中的 Windows Scripting Host 引擎負責執行,但它無法在新的 Edge 瀏覽器上執行。
也許駭客是希望能使用 JScript 來增加防毒軟體的偵測難度,因為他們可以更容易做出變形和混淆編碼的程式。
圖 1:RAA 的勒索訊息是以俄羅斯文撰寫,內容包含如何支付贖金 (0.39 比特幣,約合 250 美元) 以取得解開檔案的金鑰和軟體。
JScript 與 JavaScript 有些許類似,因為兩者都是從 ECMAScript 衍生而來,因此這幾個腳本語言多多少少有點「相通」。簡單來說,JScript 是 Microsoft 版本的 ECMAScript而 JavaScript 則是 Mozilla 版本的 ECMAScript,其中一個最大的差別在於 JScript 可以存取 IE 所開放出來的 ActiveX 物件及某些系統物件,如 WScript 物件。 繼續閱讀