Ransom32 parece ser un nuevo ransomware escrito (en parte) en JavaScript. Según tengo entendido, no afecta a un usuario a través de un navegador / visitando un sitio web, sino descargando un archivo .rar que contiene el JavaScript dañino y los medios para ejecutarlo.
Pero, ¿qué es exactamente lo que explota Ransom32? ¿Una vulnerabilidad en WinRAR o en Windows? ¿O se basa en el comportamiento incorrecto del usuario?
La mejor descripción que pude encontrar:
El malware utiliza el lenguaje de script implementado en WinRAR para descomprimir automáticamente el contenido del archivo en el directorio de archivos temporales del usuario y ejecutar el archivo "chrome.exe" contenido en el archivo.
[...]
Una vez que Ransom32 llega a un sistema y se ejecuta [¿por quién? ¿el .rar en sí?], primero descomprimirá todos sus archivos en la carpeta de archivos temporales. Desde allí, se copia en el directorio "% AppData% \ Chrome Browser". Utiliza el archivo "s.exe" incluido para crear un acceso directo en la carpeta de inicio del usuario llamada "ChromeService" que asegurará que el malware se esté ejecutando en cada inicio.
source
Entonces, a mí me parece que un ataque funciona así:
- El usuario descarga un archivo .rar
- El usuario abre el archivo (¿o se abre solo?)
- El archivo .rar decide por sí mismo dónde extraerlo
- El archivo .rar ejecuta un archivo .exe (¿o debe ejecutarlo el usuario?)
- El archivo ejecutado se copiará / vinculará a una ubicación específica, de modo que se inicie en cada inicio
¿Es este un resumen correcto?
Si lo es, me parece que los pasos 3. a 5. realmente no deberían estar ocurriendo [*]. ¿Ransom32 explota alguna vulnerabilidad conocida en Windows o WinRAR? ¿O es este comportamiento deseado, y no entendí bien cómo el ransomware afecta al sistema?
[*] No estoy familiarizado con la seguridad de Windows, pero no parece una buena idea dejar que un archivo .rar decida por sí mismo a dónde quiere que se extraiga, o dejar que un archivo .rar ejecute .exe archivos.