{
	"id": "6367e1dc-572e-4a94-ba12-7b358bf6589b",
	"created_at": "2026-04-06T00:13:08.216411Z",
	"updated_at": "2026-04-10T13:11:58.247549Z",
	"deleted_at": null,
	"sha1_hash": "0ce4c9db8913117975a7575b9b6d78e474b65724",
	"title": "Die erste Ransomware in JavaScript: Ransom32",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1013517,
	"plain_text": "Die erste Ransomware in JavaScript: Ransom32\r\nBy Sarah\r\nPublished: 2016-01-01 · Archived: 2026-04-05 19:28:09 UTC\r\n„u.vbs“ ist ein kleines Script, das alle Dateien und Ordner in einem vorgegebenen Verzeichnis durchnummeriert\r\nund löscht.\r\nDie Datei „g“ enthält die als JSON (ein Datenaustauschformat) formatierte Konfiguration der Malware.\r\nDie interessanteste Datei in dem ganzen Paket ist die „chrome.exe“. Auf den ersten Blick sieht sie verdächtig wie\r\neine Kopie des bekannten Browsers „Chrome“ aus. Die Fälschung verrät sich lediglich dadurch, dass sie keine\r\neigene digitale Signatur hat und Versionsinformationen fehlen. Weitere Analysen enttarnen sie als eine gepackte\r\nNW.js-Anwendung.\r\nModerne webbasierte Technologien und Ransomware\r\nWas genau ist denn nun eine NW.js-Datei? Die NW.js ist im Wesentlichen das „Gerüst“, mit dem unter\r\nVerwendung von JavaScript normale Computeranwendungen für Windows, Linux und Mac OS X entwickelt\r\nwerden. Als Basis dienen oftmals die Node.js– und Chromium-Projekte. JavaScript ist normalerweise auf den\r\nBrowser beschränkt und hat keinen Zugriff auf das System, auf dem es ausgeführt wird. Die NW.js verfügt jedoch\r\nüber wesentlich mehr Kontrolle und Berechtigungen in dem jeweiligen Betriebssystem. Dadurch wird JavaScript\r\nnahezu alles ermöglicht, was „normale“ Programmiersprachen wie C++ oder Delphi auch können. Für die\r\nEntwickler ist das natürlich ein großer Vorteil, weil sie aus ihren Anwendungen relativ leicht reguläre\r\nComputerprogramme machen können. Mit der NW.js lassen sich beispielsweise dieselben JavaScript-Codes auf\r\nunterschiedlichen Plattformen ausführen. Der Entwickler muss die Anwendung also nur einmal schreiben und\r\nkann sie dann unter Windows, Linux und Mac OS X einsetzen.\r\nhttps://blog.emsisoft.com/de/21077/meet-ransom32-the-first-javascript-ransomware/\r\nPage 1 of 6\n\nDas sollte bedeuten, dass sich Ransom32 auch leicht für Linux und Mac OS X packen lässt – zumindest in der\r\nTheorie. Bisher gibt es jedoch keine Hinweise auf derartige Pakete, sodass Ransom32 derzeit\r\nhöchstwahrscheinlich allein unter Windows für Probleme sorgt. Ein großer Vorteil für die Malware-Programmierer ist die Rechtmäßigkeit von NW.js-Frameworks und Anwendungen. Es ist also nicht\r\nverwunderlich, dass die Signatur-Erkennung noch immer unglaublich schlecht ist, obwohl die Malware bereits vor\r\nknapp 2 Wochen erstellt wurde.\r\nSobald Ransom32 auf ein System gelangt und ausgeführt wird, entpackt sie alle Dateien in den Ordner der\r\ntemporären Dateien. Von hier kopiert sie sich in das Verzeichnis „%AppData%\\Chrome Browser“. Mithilfe der\r\nenthaltenen „s.exe“ erstellt sie im Autostart/Startup-Ordner die Verknüpfung „ChromeService“, damit die\r\nMalware garantiert bei jedem Systemstart ausgeführt wird. Über den integrierten Tor-Client verbindet sie sich\r\ndann mit ihrem Befehls- und Steuerserver (C2-Server), der im Tor-Netzwerk versteckt auf Port 85 liegt. Von hier\r\nwerden der zum Verschlüsseln verwendete Kryptografieschlüssel und die Bitcoin-Adresse abgerufen, an die das\r\nLösegeld gehen soll. War die Verbindung zum C2-Server erfolgreich, wird von der Malware schließlich die\r\nErpressermeldung angezeigt.\r\nDie in der Malware angezeigte Erpressermeldung\r\nAnschließend werden die Dateien des Benutzers verschlüsselt. Davon sind alle Dateien mit folgenden Endungen\r\nbetroffen:\r\n*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*,\r\n*.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb,\r\n*.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb,\r\n*.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx,\r\nhttps://blog.emsisoft.com/de/21077/meet-ransom32-the-first-javascript-ransomware/\r\nPage 2 of 6\n\n*.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm,\r\n*.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm,\r\n*.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp,\r\n*.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat\r\nDie Malware verschlüsselt jedoch keine Dateien in Verzeichnissen, die eine der folgenden Zeichenfolgen\r\nenthalten:\r\n:\\windows\\\r\n:\\winnt\\\r\nprogramdata\\\r\nboot\\\r\ntemp\\\r\ntmp\\\r\n$recycle.bin\\\r\nDie Verschlüsselung erfolgt unter dem AES (Advanced Encryption Standard) als 128-Bit-Schlüssel mit der\r\nBetriebsart CTR. Für jede Datei wird ein neuer Schlüssel erstellt. Dieser wird wiederum mit dem RSA-Algorithmus und einem öffentlichen Schlüssel verschlüsselt, der bei der ersten Kommunikation mit dem C2-\r\nServer abgerufen wurde.\r\nhttps://blog.emsisoft.com/de/21077/meet-ransom32-the-first-javascript-ransomware/\r\nPage 3 of 6\n\nAuszug aus dem individuellen Protokollaustausch zwischen Ransom32 und dem C2-Server, um Bitcoin-Adresse\r\n(violett) und öffentlichen Schlüssel (Länge in Gelb, Schlüssel in Grün) abzurufen.\r\nDer verschlüsselte AES-Schlüssel wird zusammen mit den AES-verschlüsselten Daten in der – jetzt ebenfalls\r\nverschlüsselten – Datei gespeichert.\r\nDie Malware bietet auch an, eine einzelne Datei wieder zu entschlüsseln, um dem Opfer zu beweisen, dass der\r\nMalware-Entwickler die Verschlüsselung auch tatsächlich wieder aufheben kann. Dazu schickt sie den\r\nverschlüsselten AES-Schlüssel der gewählten Datei an den C2-Server, der dann den entschlüsselten AES-Schlüssel für die Datei zurücksendet.\r\nWie können Sie sich vor Ransom32 schützen?\r\nWie bereits in unserem letzten Artikel zu Ransomware erläutert, ist der beste Schutz eine gut organisierte\r\nSicherungsstrategie. Als ein weiterer guter Schutz haben sich erneut die in Emsisoft Anti-Malware und Emsisoft\r\nInternet Security eingesetzten Technologien zur Verhaltensanalyse erwiesen. Damit sind alle unsere Benutzer vor\r\ndieser und Hunderten anderen Arten von Ransomware geschützt – unabhängig von Signaturen.\r\nhttps://blog.emsisoft.com/de/21077/meet-ransom32-the-first-javascript-ransomware/\r\nPage 4 of 6\n\nUsers of Emsisoft Anti-Malware and Emsisoft Internet Security are protected from Ransom32 and other\r\nransomware families by the behavior blocker\r\nBenutzer von Emsisoft Anti-Malware und Emsisoft Internet Security sind durch die Verhaltensanalyse vor\r\nRansom32 und anderen Ransomware-Familien geschützt.\r\nRansomware ist eine der größten Bedrohungen des vergangenen Jahres und wir werden auch 2016 unser\r\nMöglichstes tun, um unsere Benutzer wie bisher optimal zu schützen.\r\nIn diesem Sinne: Die Malware-Experten von Emsisoft wünschen Ihnen ein großartiges und malwarefreies neues\r\nJahr.\r\nZu guter Letzt noch ein Wort des Dankes an unsere Freunde von BleepingComputer, die uns als Erste auf diese\r\nBedrohung hingewiesen haben. Insbesondere xXToffeeXx von BleepingComputer sei in diesem Zusammenhang\r\nerwähnt. Sie hat uns mit ihren Beiträgen beim Analysieren und Rückentwickeln (Reverse Engineering) dieser\r\nRansomware wertvolle Unterstützung geleistet.\r\nhttps://blog.emsisoft.com/de/21077/meet-ransom32-the-first-javascript-ransomware/\r\nPage 5 of 6\n\nSource: https://blog.emsisoft.com/de/21077/meet-ransom32-the-first-javascript-ransomware/\r\nhttps://blog.emsisoft.com/de/21077/meet-ransom32-the-first-javascript-ransomware/\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://blog.emsisoft.com/de/21077/meet-ransom32-the-first-javascript-ransomware/"
	],
	"report_names": [
		"meet-ransom32-the-first-javascript-ransomware"
	],
	"threat_actors": [
		{
			"id": "9f101d9c-05ea-48b9-b6f1-168cd6d06d12",
			"created_at": "2023-01-06T13:46:39.396409Z",
			"updated_at": "2026-04-10T02:00:03.312816Z",
			"deleted_at": null,
			"main_name": "Earth Lusca",
			"aliases": [
				"CHROMIUM",
				"ControlX",
				"TAG-22",
				"BRONZE UNIVERSITY",
				"AQUATIC PANDA",
				"RedHotel",
				"Charcoal Typhoon",
				"Red Scylla",
				"Red Dev 10",
				"BountyGlad"
			],
			"source_name": "MISPGALAXY:Earth Lusca",
			"tools": [
				"RouterGod",
				"SprySOCKS",
				"ShadowPad",
				"POISONPLUG",
				"Barlaiy",
				"Spyder",
				"FunnySwitch"
			],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "18a7b52d-a1cd-43a3-8982-7324e3e676b7",
			"created_at": "2025-08-07T02:03:24.688416Z",
			"updated_at": "2026-04-10T02:00:03.734754Z",
			"deleted_at": null,
			"main_name": "BRONZE UNIVERSITY",
			"aliases": [
				"Aquatic Panda",
				"Aquatic Panda ",
				"CHROMIUM",
				"CHROMIUM ",
				"Charcoal Typhoon",
				"Charcoal Typhoon ",
				"Earth Lusca",
				"Earth Lusca ",
				"FISHMONGER ",
				"Red Dev 10",
				"Red Dev 10 ",
				"Red Scylla",
				"Red Scylla ",
				"RedHotel",
				"RedHotel ",
				"Tag-22",
				"Tag-22 "
			],
			"source_name": "Secureworks:BRONZE UNIVERSITY",
			"tools": [
				"Cobalt Strike",
				"Fishmaster",
				"FunnySwitch",
				"Spyder",
				"njRAT"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "6abcc917-035c-4e9b-a53f-eaee636749c3",
			"created_at": "2022-10-25T16:07:23.565337Z",
			"updated_at": "2026-04-10T02:00:04.668393Z",
			"deleted_at": null,
			"main_name": "Earth Lusca",
			"aliases": [
				"Bronze University",
				"Charcoal Typhoon",
				"Chromium",
				"G1006",
				"Red Dev 10",
				"Red Scylla"
			],
			"source_name": "ETDA:Earth Lusca",
			"tools": [
				"Agentemis",
				"AntSword",
				"BIOPASS",
				"BIOPASS RAT",
				"BadPotato",
				"Behinder",
				"BleDoor",
				"Cobalt Strike",
				"CobaltStrike",
				"Doraemon",
				"FRP",
				"Fast Reverse Proxy",
				"FunnySwitch",
				"HUC Port Banner Scanner",
				"KTLVdoor",
				"Mimikatz",
				"NBTscan",
				"POISONPLUG.SHADOW",
				"PipeMon",
				"RbDoor",
				"RibDoor",
				"RouterGod",
				"SAMRID",
				"ShadowPad Winnti",
				"SprySOCKS",
				"WinRAR",
				"Winnti",
				"XShellGhost",
				"cobeacon",
				"fscan",
				"lcx",
				"nbtscan"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "d53593c3-2819-4af3-bf16-0c39edc64920",
			"created_at": "2022-10-27T08:27:13.212301Z",
			"updated_at": "2026-04-10T02:00:05.272802Z",
			"deleted_at": null,
			"main_name": "Earth Lusca",
			"aliases": [
				"Earth Lusca",
				"TAG-22",
				"Charcoal Typhoon",
				"CHROMIUM",
				"ControlX"
			],
			"source_name": "MITRE:Earth Lusca",
			"tools": [
				"Mimikatz",
				"PowerSploit",
				"Tasklist",
				"certutil",
				"Cobalt Strike",
				"Winnti for Linux",
				"Nltest",
				"NBTscan",
				"ShadowPad"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434388,
	"ts_updated_at": 1775826718,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/0ce4c9db8913117975a7575b9b6d78e474b65724.pdf",
		"text": "https://archive.orkl.eu/0ce4c9db8913117975a7575b9b6d78e474b65724.txt",
		"img": "https://archive.orkl.eu/0ce4c9db8913117975a7575b9b6d78e474b65724.jpg"
	}
}