Блог IT для Windows

Всё для Windows, софт, исходники

Вымогательское ПО PowerWare использует PowerShell для шифрования файлов

E-mail Печать PDF
(0 голоса, среднее 0 из 5)

Исследователи компании Carbon Black обнаружили новое вымогательское ПО PowerWare, атакующее преимущественно медицинские организации. Ключевой особенностью вредоноса является использование инструмента PowerShell для шифрования файлов. Windows PowerShell - оболочка командной строки, а также язык сценариев, предназначенный специально для системного администрирования.

PowerWare распространяется посредством фишинговых писем с прикрепленным документом, имитирующим счет-фактуру, пишет издание ComputerWorld. На деле файл Microsoft Word содержит вредоносный макрос. При открытии письма на экране отображается уведомление о необходимости запуска макроса для корректного просмотра документа. После получения разрешения жертвы макрос открывает командную строку Windows (cmd.exe) и запускает два экземпляра PowerShell. Первый загружает ПО PowerWare с удаленного сервера, второй – выполняет скрипт.

Далее процесс происходит по традиционному для подобных типов ПО сценарию. Скрипт генерирует ключ шифрования, используемый для шифрования файлов с определенными расширениями, включая документы, изображения, видеофайлы, архивы и исходный код. Затем ключ отправляется на сервер злоумышленников.

За восстановление доступа к файлам преступники требуют выкуп в размере $500. В случае, если жертва не выполняет требования злоумышленников в течение двух недель, сумма увеличивается до $1 тыс.

Источник: www.securitylab.ru/news/480456.php

 

Добавить комментарий


Защитный код
Обновить

Экспорт RSS

feed-image RSS

Праздники и история IT

Кто на сайте

Сейчас 124 гостей онлайн

Статистика

Яндекс.Метрика
Анализ веб сайтов

Поиск


Голосования

Какой операционной системой вы пользуетесь
 

Наш опрос

Каким браузером вы пользуетесь
 
Каким антивирусом вы пользуетесь