Вымогательское ПО PowerWare использует PowerShell для шифрования файлов

28.03.2016 20:16 Администратор
Печать
(2 голоса, среднее 5.00 из 5)

Исследователи компании Carbon Black обнаружили новое вымогательское ПО PowerWare, атакующее преимущественно медицинские организации. Ключевой особенностью вредоноса является использование инструмента PowerShell для шифрования файлов. Windows PowerShell - оболочка командной строки, а также язык сценариев, предназначенный специально для системного администрирования.

PowerWare распространяется посредством фишинговых писем с прикрепленным документом, имитирующим счет-фактуру, пишет издание ComputerWorld. На деле файл Microsoft Word содержит вредоносный макрос. При открытии письма на экране отображается уведомление о необходимости запуска макроса для корректного просмотра документа. После получения разрешения жертвы макрос открывает командную строку Windows (cmd.exe) и запускает два экземпляра PowerShell. Первый загружает ПО PowerWare с удаленного сервера, второй – выполняет скрипт.

Далее процесс происходит по традиционному для подобных типов ПО сценарию. Скрипт генерирует ключ шифрования, используемый для шифрования файлов с определенными расширениями, включая документы, изображения, видеофайлы, архивы и исходный код. Затем ключ отправляется на сервер злоумышленников.

За восстановление доступа к файлам преступники требуют выкуп в размере $500. В случае, если жертва не выполняет требования злоумышленников в течение двух недель, сумма увеличивается до $1 тыс.

Источник: www.securitylab.ru

Download SocComments v1.3