Ransom32的檔案中含有一個chrome.exe執行檔，乍看之下很像是Google的Chrome瀏覽器，但它缺乏正確的數位簽章，而且版本資訊也與Chrome瀏覽器不同，其實它是個NW.js應用程式，含有實際的惡意程式碼以及執行惡意程式所需的框架。

資安業者Emsisoft本周揭露了史上首款以JavaScript撰寫的勒索軟體Ransom32，Ransom32以NW.js程式來包裝惡意檔案，方便展開跨平台運作，而且採用軟體即服務（Software as a Service，SaaS）的商業運作模式來吸引駭客。

Emsisoft的安全研究人員Fabian Wosar在登入Ransom32服務並下載惡意程式之後發現了Ransom32古怪之處，相較於其他鮮少超過1MB的勒索軟體，Ransom32的檔案大小高達22MB。進而引起了研究人員的注意。

根據研究人員解析，Ransom32的檔案中含有一個chrome.exe執行檔，乍看之下很像是Google的Chrome瀏覽器，但它缺乏正確的數位簽章，而且版本資訊也與Chrome瀏覽器不同，其實它是個NW.js應用程式，含有實際的惡意程式碼以及執行惡意程式所需的框架。

NW.js為一結合Node.js與Chromium專案的JavaScript應用程式開發框架，可用來打造支援Windows、Mac OS X與Linux的應用程式，有別於瀏覽器對JavaScript程式碼的沙箱執行限制，NW.js移除了相關的限制，並允許程式直接與作業系統互動。NW.js除了允許程式在不同的平台上運作之外，也讓開發人員更容易把網路程式轉成桌面程式。

因此，雖然Wosar所發現的Ransom32是鎖定Windows平台，但他認為理論上Ransom32很容易就可轉向攻擊Mac OS X與Linux。

Wosar向Softpedia解釋，NW.js的最大優勢在於它所需的.Net或Java運行環境都已經安裝在各個系統上了，雖然目前Ransom32尚未發揮NW.js的所有潛能，但它很輕易就能辦到，而且可能成為其他駭客集團效法的對象。

另一方面，有鑑於NW.js是個合法的框架與程式，在現身兩周後還是只有極少數的防毒產品有能力辨識它，包括Emsisoft、AVware與VIPRE。

McAfee Labs去年9月即曾警告，加密使用者裝置資料以要求贖金的勒索軟體成長非常快速，駭客之間不但已經形成專業的支援架構，而且技術日益精進，甚至進階到鎖定企業的網路資料庫與備份。Wosar則說，防範勒索軟體的第一要務仍是完善的備份策略，其次才是採用有效的防毒軟體。