Новое семейство приложений-вымогателей под названием RAA использует исключительно код на JavaScript для инфицирования компьютеров и шифрования файлов на них. RAA не является первым вымогателем на JavaScript, однако до него такие приложения не использовали исключительно JavaScript.
В январе Фабиан Восар из компании Emsisoft обнаружил Ransom32, первое написанное на JavaScript семейство вымогателей. Для его написания использовалась среда Node.js, а распространение велось в виде исполняемого файла. RAA же распространяется в виде файла с расширением .js. Его прикрепляют к электронным письмам, выдавая за документ Office. Такие файлы на компьютерах чаще всего запускаются через Windows Script Host (WSH), что даёт вредоносному коду доступ к системным утилитам. Обфускация кода старается скрыть его природу от исследователей и не дать помешать его выполнению.
RAA включает в себя библиотеку CryptoJS. Этот комплект для JavaScript добавляет в него поддержку криптографических функций, именно он позволяет RAA шифровать файлы. Также RAA содержит функции для скачивания и установки программы типа Infostealer под названием Pony. Это семейство собирает пароли в браузере и прочую информацию на компьютере. Pony обычно используется в системе как разведчик, зачастую работая совместно с банковскими троянами, но не в случае с RAA.
RAA шифрует файлы 16 типов и отображает приведённое выше сообщение. Пока оно обнаружено только на русском языке. Размер выкупа составляет 0,39 биткоинов (около $250), говорится об использовании алгоритма шифрования AES-256, для получения ключа нужно связаться с автором вымогателя по электронной почте. К настоящему времени взломать RAA не удалось.