Блог IT для Windows

Всё для Windows, софт, исходники

Вымогательское ПО PowerWare использует PowerShell для шифрования файлов

E-mail Печать PDF
(0 голоса, среднее 0 из 5)

Исследователи компании Carbon Black обнаружили новое вымогательское ПО PowerWare, атакующее преимущественно медицинские организации. Ключевой особенностью вредоноса является использование инструмента PowerShell для шифрования файлов. Windows PowerShell - оболочка командной строки, а также язык сценариев, предназначенный специально для системного администрирования.

PowerWare распространяется посредством фишинговых писем с прикрепленным документом, имитирующим счет-фактуру, пишет издание ComputerWorld. На деле файл Microsoft Word содержит вредоносный макрос. При открытии письма на экране отображается уведомление о необходимости запуска макроса для корректного просмотра документа. После получения разрешения жертвы макрос открывает командную строку Windows (cmd.exe) и запускает два экземпляра PowerShell. Первый загружает ПО PowerWare с удаленного сервера, второй – выполняет скрипт.

Далее процесс происходит по традиционному для подобных типов ПО сценарию. Скрипт генерирует ключ шифрования, используемый для шифрования файлов с определенными расширениями, включая документы, изображения, видеофайлы, архивы и исходный код. Затем ключ отправляется на сервер злоумышленников.

За восстановление доступа к файлам преступники требуют выкуп в размере $500. В случае, если жертва не выполняет требования злоумышленников в течение двух недель, сумма увеличивается до $1 тыс.

Источник: www.securitylab.ru/news/480456.php

 

Добавить комментарий


Защитный код
Обновить

Праздники и история IT

Кто на сайте

Сейчас 30 гостей онлайн

Экспорт RSS

feed-image RSS

Статистика

Яндекс.Метрика
Анализ веб сайтов

Поиск


Голосования

Какой операционной системой вы пользуетесь
 

Наш опрос

Каким браузером вы пользуетесь
 
Каким антивирусом вы пользуетесь