Блог IT для Windows

Все про Windows, программное обеспечение, информационную безопасность, программирование

Вымогательское ПО PowerWare использует PowerShell для шифрования файлов

E-mail Печать PDF
(2 голоса, среднее 5.00 из 5)

Исследователи компании Carbon Black обнаружили новое вымогательское ПО PowerWare, атакующее преимущественно медицинские организации. Ключевой особенностью вредоноса является использование инструмента PowerShell для шифрования файлов. Windows PowerShell - оболочка командной строки, а также язык сценариев, предназначенный специально для системного администрирования.

PowerWare распространяется посредством фишинговых писем с прикрепленным документом, имитирующим счет-фактуру, пишет издание ComputerWorld. На деле файл Microsoft Word содержит вредоносный макрос. При открытии письма на экране отображается уведомление о необходимости запуска макроса для корректного просмотра документа. После получения разрешения жертвы макрос открывает командную строку Windows (cmd.exe) и запускает два экземпляра PowerShell. Первый загружает ПО PowerWare с удаленного сервера, второй – выполняет скрипт.

Далее процесс происходит по традиционному для подобных типов ПО сценарию. Скрипт генерирует ключ шифрования, используемый для шифрования файлов с определенными расширениями, включая документы, изображения, видеофайлы, архивы и исходный код. Затем ключ отправляется на сервер злоумышленников.

За восстановление доступа к файлам преступники требуют выкуп в размере $500. В случае, если жертва не выполняет требования злоумышленников в течение двух недель, сумма увеличивается до $1 тыс.

Источник: www.securitylab.ru


 

Добавить комментарий


Защитный код
Обновить

Праздники и история IT

Кто на сайте

Сейчас 25 гостей онлайн

Статистика

Яндекс.Метрика

Экспорт RSS

feed-image RSS

Поиск по сайту

Голосования

Какой операционной системой вы пользуетесь
 
Каким антивирусом вы пользуетесь
 

Мы в Яндекс.Дзен

Блог IT

Мы Вконтакте


Форум программистов и сисадминов Киберфорум