Analyse van een trojan loader

Iemand krijgt een mailtje met de bijlage payment_info_007278.zip, dubbelklikt dat en mogelijk ook

op een bestand daarin en besmet zijn computer met ransomware. Al zijn documenten worden versleuteld via een encryptiealgoritme en er worden op diverse plaatsen bestanden gedropt met instructies hoe het losgeld te betalen , via URLs in het TOR-netwerk in het topdomein .onion . De bijlage bevat een "trojan loader". Hierin zitten een bitmap en twee JavaScript-bestanden genaamd billing_f487c29.js en payment_details_005e4.js. De analyse van de twee JavaScript-bestanden wordt hier beschreven.