The Sophos seems to imply that this a a browser based attack and that you're infected by only visiting the site.
No, non è così. Per citare dal sito:
... These days, a lot of ransomware arrives in JavaScript attachments.
... The JavaScript doesn’t download the ransomware, it is the ransomware.
... On Windows, JavaScript outside your browser runs in the Windows Script Host (WSH)
Niente in questo articolo suggerisce che si tratti di un attacco basato su browser. Al contrario, afferma esplicitamente che lo script deve essere eseguito all'esterno del browser per disporre delle autorizzazioni appropriate.
... can't find any practical examples of how this might be achieved
Ci sono abbastanza esempi per l'utilizzo di WSH (Windows Scripting Host) da un javascript in esecuzione all'esterno del browser. Per un caso specifico di come questo è usato nel malware vedi ad esempio Ransomware nella tua casella di posta: l'aumento degli allegati JavaScript dannosi . E con l'aiuto di WSH, l'aggressore ottiene l'accesso a molte funzionalità, inclusa la lettura e la modifica dei file.