Ransomware email-ből

Kaptam egy emailt. Csak egy fájl volt benne a nevemmel, a gmail valamiért a spam mappába rakta. Gondoltam fontos így aztán letöltöttem. Egy zip-be csomagolt zip volt, amiben egy .js fájl volt. Futtattam, nehogy lemaradjak valamiről…

Persze nem futtattam, csak megnyitottam notepad++-al, mert én tudom mit csinálok (mondta a félkezű hobbi tűzszerész) 

A .js fájl igen érdekesen néz ki elsőre

Ransomware email-ből – @Yzahkin Image 1

Röviden annyi a lényege ennek a módszernek, hogy minden tömb tartalmaz egyetlen szövegdarabot (sok látszik a képen), a számok csak dísznek vannak ott. Az “if” sorral kezdődik igazából a script. 

Az a rész a sok-sok szöveg darabból összerak egy igazi futtatható scriptet. Amit nekem betűpárosonként kellett összeollózni a kódot olvasva. Ez olyan, mint egy oldschool logikai játék. Élmény papírra jegyzetelni így. 

Nem fejtettem meg a teljes kódot, mert elég részletet szedtem össze, hogy megértsem mit csinál.

Mit csinál?

Meglátogat a háttérben egy weboldalt, amiről letölt egy .dat fájlt. Ezt parancssorban .exe-ként futtatja.

A fájl valahogy így néz ki belülről

Ransomware email-ből – @Yzahkin Image 2

Ez egy telepítő. 

Hogy mit telepít?

Ezeket.

Ransomware email-ből – @Yzahkin Image 3

Tanulság?

A tanulság olyan régi, mint az email-ek. Nem töltünk le, nyitunk meg, futtatunk fájlokat spam mappából, se olyanoktól, akiket nem ismerünk. 

Miért csinálom ezt?

Kíváncsiságból. Mások kódját értelmezni jó agytorna és mindig van mit tanulni.