JavaScript邮件附件可能携带恶意代码

近期，一种名为RAA的勒索软件引起了广泛关注。该勒索软件完全采用JavaScript编写，通过强大的加密程序锁定用户的文件，以达到勒索的目的。

在Windows系统中，大部分恶意软件采用C或C++等编译型语言编写，以.exe或.dll等可执行文件的形式传播。尽管存在一些使用命令行脚本编写的恶意软件，如Windows的batch和PowerShell，但使用网页语言如JavaScript编写的客户端恶意软件仍然相对较少。这种语言主要是被浏览器所解释，Windows内置的Script Host也可以直接执行.js文件。

最近，攻击者开始利用这一技术。微软曾警告称，恶意邮件中的js附件可能携带病毒。ESET安全研究院也发出警告，某些js附件可能散布Locky病毒。这两种情况下的JavaScript文件仅作为恶意软件的下载器，它们从其他地址下载并使用其他语言编写的传统恶意软件进行安装。与此不同，RAA是完全使用JavaScript语言编写的恶意软件。

据BleepingComputer技术支持论坛的专家称，RAA依赖于安全的JavaScript库CryptoJS来实现其加密过程。它使用了AES-256加密算法，加密过程非常牢固。

一旦文件被加密，RAA会在件名的后缀加上.locked。其加密的目标文件类型广泛，包括.doc、.xls、.rtf、.pdf、.dbf、.jpg、.dwg、.cdr、.psd、.cd、.mdb、.png、.lcd、.zip、.rar和.csv等。

BleepingComputer的创始人Lawrence Abrams在一篇博客中警告说：“目前情况下，除非付费，否则尚无解密方法。”用户反应显示，感染RAA后会随机显示俄文信息。尽管其主要目标可能是俄罗斯的计算机，但其扩散只是时间问题。

为了避免感染此类恶意软件，用户应谨慎处理邮件中的JavaScript附件，尤其是当它们包含在.zip压缩文档中时。除了网站和浏览器，JavaScript文件在其他地方的使用非常罕见。请注意防范，远离恶意病毒。

网络安全威胁时刻存在，我们应保持警惕，做好防范工作，避免个人信息和财产安全受到威胁。希望大家能够更好地了解这一威胁并采取相应的防护措施。网络安全，人人有责。