Новини

08:45
Украина способна накормить 500 млн человек - глава Минагрополитики
08:41
Сеть покоряет ролик, в котором мир показан глазами искусственного интеллекта (видео)
08:37
50-летняя Синди Кроуфорд порадовала фанатов откровенным снимком
08:30
Польша усиливает защиту границ
08:14
Шокирующее убийство ребенка в Киеве: новые подробности
08:08
Все очень серьезно: Брэд Питт переезжает жить к Кейт Хадсон
08:00
Единственный в мире: для Шварценеггера создали электрический Mercedes-Benz
08:00
"АвтоЕвроСила" перекрыли трассу Киев-Одесса. Сносят покрышки
07:55
Зачем Трамп хочет сменить 80 глав американских дипмиссий
07:42
Светлана Лобода изумила стройной фигурой в стильном купальнике
07:24
В Иране военные расстреляли из зенитного орудия НЛО
07:19
Сергей Cоседов назвал выступления Пугачевой бездарными
07:14
Организаторы Евромайдана предали Украину — Нина Матвиенко
07:13
"АвтоВАЗ" припинив постачання авто в Україну
07:10
Маша Ефросинина кардинально сменила имидж
07:00
Мощный взрыв дома в Лондоне: появились первые фото и видео
22:08
Пашинский пошел в наступление и пытается «замять» стрельбу на Киевщине - Лещенко
22:00
В Украине поменяют систему начисления субсидий: к чему готовиться
21:42
На Киевщине экс-чиновник "пустила на ветер" землю на 54 млн грн
21:20
Украинцам под видом акций продают просроченные продукты – эксперт
21:17
Автомобили Volkswagen подключат к скоростному интернету
20:56
В Хмельницком ротвейлер напал на иностранца: мужчина едва не погиб
20:48
Полиция предупредила о перекрытии основных въездов в Киев
20:27
"Безногий, че улыбаешься?" Фанаты "Спартака" устроили разнос российским хоккеистам
19:34
МВФ предложил действенный способ преодоления коррупции в Украине
19:32
С февраля газ в Украине снова подорожает
19:22
Савченко назвала власть "врагом украинского народа"
19:18
Нацполиция объявила о новом наборе: 3200 свободных мест
19:12
Шикарный особняк Стаса Михайлова поразил Сеть
19:02
Опасные вирусы на Земле могут истребить все человечество
18:58
Современным детям не понадобятся права на вождение автомобиля
18:10
Украинцы пожаловались на задержки переводов через ПриватБанк
17:57
В отношениях России и США что-то пошло не так
16:17
Учасники движения "Авто Евро Сила" собираются на акцию протеста
15:58
Мосийчук поразил догадкой о Савченко
15:34
Кабмин придумал для МВФ альтернативу повышению пенсионного возраста
15:00
В Украину идут морозы до минус 24 градусов
14:59
Кабмин намерен создать новую службу вместо налоговой полиции
Більше новин

Русскоязычный вирус-вымогатель использует новую технологию

0

Специалисты антивирусной компании Sophos обнаружили и изучили интересный образец вируса-вымогателя, в котором используется Windows PowerShell (WPS) – язык сценариев, который позволяет системным администраторам автоматизировать выполнение различных операций в своей сети.

Русскоязычный вирус-вымогатель использует новую технологию
В изученном вирусе сценарии на языке WPS используются, чтобы шифровать файлы на компьютере жертвы и удерживать их «в заложниках» до уплаты выкупа. Примечательно, что вирус-вымогатель оснащен интерфейсом на русском языке, что явно указывает – вымогать деньги планируется именно у русскоязычных пользователей, либо у тех, кто из-за пропагандистского образа «русских хакеров» побоится обращаться к легальным специалистам.

Вирусы-вымогатели, также известные под названиями «вин-локеры», «баннеры» и так далее, стали одним из самых эффективных на сегодняшний день методов для получения нелегального дохода в киберпространстве. Тем не менее, разработчики этого опасного класса программ даже не думают почивать на лаврах, продолжая поиск новых видов тактики и оттачивание схем вымогательства. Одним из примеров непрерывного технического прогресса в сфере киберпреступности стало использование в вирусе языка сценариев WPS, ранее известного исключительно как инструмент сетевых администраторов.

Вредоносный компонент вируса-вымогателя распространяется по электронной почте в виде HTA-файла, присоединенного к спам-рассылке. Один из скриптов в этом HTA-файле проверяет, установлен ли компонент Windows PowerShell на заражаемой системе. Если нет, то установщик WPS специально загружается через сервис Dropbox и запускается. Следует заметить, что интерпретатор PowerShell устанавливается по умолчанию во всех редакциях Windows 7 и более поздних версиях Windows, однако, и в более ранних версиях его всегда можно установить вручную.

Второй компонент вируса-вымогателя из HTA-файла представляет собой сценарий на языке PowerShell, который выполняет шифрование файлов с помощью алгоритма «Rijndael» с симметричными ключами. Для захвата в заложники вирус ищет потенциально важные для пользователя файлы по 163 различным расширениям, включая документы, видеозаписи и картинки.

Когда файлы для захвата выбраны и зашифрованы, на жесткий диск зараженной машины сбрасывается текстовый файл под названием «READ_ME_NOW.txt». В этом файле содержится сообщение на русском языке с инструкцией по передаче выкупа для восстановления файлов. В частности, вымогатели предлагают жертве отправить данную копию файла «READ_ME_NOW.txt» на специальный веб-сайт, поскольку в файле содержится некий уникальный «код». После отправки файла через веб-форму пользователям предлагается уплатить 10 тысяч рублей за восстановление файлов.

В некоторых случаях при заражении такими вирусами почти невозможно восстановить файлы без уплаты выкупа, поскольку для шифрования используется очень стойкий алгоритм. В то же время, конкретно в данном случае необходимый ключ дешифровки можно получить теми же средствами языка PowerShell. Дело в том, что здесь используется два ключа: глобально уникальный идентификатор UUID (Universally Unique Identifier), сохраняемый в файле .FTCODE, а также случайно сгенерированный ключ в виде строки из 50 символов, сохраняемый в файле .BTCODE. Первый ключ можно восстановить командой «Get-wmiobject Win32_ComputerSystemProduct UUID», а второй – командой «Gwmi win32_computerSystem Model». Подробнее о расследовании компании Sophos можно прочитать в корпоративном блоге по адресу http://nakedsecurity.sophos.com/2013/03/05/russian-ransomware-windows-powershell/.
Источник

Загрузка...