Новини

15:57
На Прикарпатье семья едва не стала жертвой "невидимого убийцы"
15:44
Власти за последние месяцы на угле заработали 10 млрд грн - Тимошенко
13:58
Всего 5% вкладов вернули вкладчикам из обанкротившихся банков. Остальные где?
13:54
В Польшу будут направлены военные из США
13:50
Украинцам пересчитают субсидии из-за повышения тарифов ЖКХ
12:57
YouTube откажется от самого раздражающего рекламного формата
12:54
Этого не делал даже Янукович: Семенченко о стычках под АП
12:30
В НБУ сообщили, из-за чего еще может девальвировать гравна
10:59
В Кабмине спрогнозировали, что будет с гривней в этом году
10:54
Алексей МОЧАНОВ: Прийдётся ещё раз собраться. В последний бой
10:51
Саакашвили: У Порошенко был исторический шанс, но он променял его на деньги
10:47
Причин для повышения тарифов не было: мнение
09:48
Андрій Рева: Соціальні інспектори перевірятимуть чиновників, а не громадян
09:34
Так рождался Путин: в сети вспомнили пророческое смешное видео
09:15
Торговля оружием в мире достигла максимума со времен окончания холодной войны
09:10
В Украине готовят новую систему уплаты налогов и сборов
09:08
Доходы местных бюджетов за год увеличились на 44%
08:56
Хлеб в Украине будет дорожать
08:43
"Сам нарвался": избитый в центре Киева Соболев первым полез в драку
08:39
Алла Пугачева опубликовала трогательный кадры своего семейства
08:24
Кто в Киеве первым останется без света и тепла
08:13
Кадры одной из худших дорог Украины стали хитом сети
08:01
Катя Осадчая похвасталась первым фото после родов
07:55
Филатов — Семенченко и Парасюку: Вова и Сема. Вы — два полезных идиота
07:45
НЛО едва не врезался в самолёт чилийских ВВС
07:43
Анджелина Джоли блеснула на презентации нового фильма в розовом платье
07:31
В сети появилась запись убийства брата лидера КНДР с камер наблюдения
07:26
Руслана показала себя в коротеньких шортах посреди зимы
20:57
Умер известный украинский режиссер Максим Паперник
20:48
Семенченко рассказал о военном перевороте Авакова
20:29
Скончалась прославленная украинская олимпийская чемпионка
20:23
Журналіст: Брали курс на демократичну Європу - прийшли у поліцейську державу
20:16
Как не платить налоги и при этом оставаться «чистым». Метод Глеба Загория
19:07
В Киеве произошли первые столкновения между активистами блокады и Нацгвардией
18:54
Налог на недвижимость: за что украинцам не придется платить в 2017 году
18:38
Очередное подорожание: цены на коммуналку снова вырастут
18:12
Киевскую свалку закроют: куда вывозить отходы неизвестно, денег на переработку нет
17:58
Вече ОУН в центре Киева: эксперты оценили риски "Майдана-3"
Більше новин

Русскоязычный вирус-вымогатель использует новую технологию

0

Специалисты антивирусной компании Sophos обнаружили и изучили интересный образец вируса-вымогателя, в котором используется Windows PowerShell (WPS) – язык сценариев, который позволяет системным администраторам автоматизировать выполнение различных операций в своей сети.

Русскоязычный вирус-вымогатель использует новую технологию
В изученном вирусе сценарии на языке WPS используются, чтобы шифровать файлы на компьютере жертвы и удерживать их «в заложниках» до уплаты выкупа. Примечательно, что вирус-вымогатель оснащен интерфейсом на русском языке, что явно указывает – вымогать деньги планируется именно у русскоязычных пользователей, либо у тех, кто из-за пропагандистского образа «русских хакеров» побоится обращаться к легальным специалистам.

Вирусы-вымогатели, также известные под названиями «вин-локеры», «баннеры» и так далее, стали одним из самых эффективных на сегодняшний день методов для получения нелегального дохода в киберпространстве. Тем не менее, разработчики этого опасного класса программ даже не думают почивать на лаврах, продолжая поиск новых видов тактики и оттачивание схем вымогательства. Одним из примеров непрерывного технического прогресса в сфере киберпреступности стало использование в вирусе языка сценариев WPS, ранее известного исключительно как инструмент сетевых администраторов.

Вредоносный компонент вируса-вымогателя распространяется по электронной почте в виде HTA-файла, присоединенного к спам-рассылке. Один из скриптов в этом HTA-файле проверяет, установлен ли компонент Windows PowerShell на заражаемой системе. Если нет, то установщик WPS специально загружается через сервис Dropbox и запускается. Следует заметить, что интерпретатор PowerShell устанавливается по умолчанию во всех редакциях Windows 7 и более поздних версиях Windows, однако, и в более ранних версиях его всегда можно установить вручную.

Второй компонент вируса-вымогателя из HTA-файла представляет собой сценарий на языке PowerShell, который выполняет шифрование файлов с помощью алгоритма «Rijndael» с симметричными ключами. Для захвата в заложники вирус ищет потенциально важные для пользователя файлы по 163 различным расширениям, включая документы, видеозаписи и картинки.

Когда файлы для захвата выбраны и зашифрованы, на жесткий диск зараженной машины сбрасывается текстовый файл под названием «READ_ME_NOW.txt». В этом файле содержится сообщение на русском языке с инструкцией по передаче выкупа для восстановления файлов. В частности, вымогатели предлагают жертве отправить данную копию файла «READ_ME_NOW.txt» на специальный веб-сайт, поскольку в файле содержится некий уникальный «код». После отправки файла через веб-форму пользователям предлагается уплатить 10 тысяч рублей за восстановление файлов.

В некоторых случаях при заражении такими вирусами почти невозможно восстановить файлы без уплаты выкупа, поскольку для шифрования используется очень стойкий алгоритм. В то же время, конкретно в данном случае необходимый ключ дешифровки можно получить теми же средствами языка PowerShell. Дело в том, что здесь используется два ключа: глобально уникальный идентификатор UUID (Universally Unique Identifier), сохраняемый в файле .FTCODE, а также случайно сгенерированный ключ в виде строки из 50 символов, сохраняемый в файле .BTCODE. Первый ключ можно восстановить командой «Get-wmiobject Win32_ComputerSystemProduct UUID», а второй – командой «Gwmi win32_computerSystem Model». Подробнее о расследовании компании Sophos можно прочитать в корпоративном блоге по адресу http://nakedsecurity.sophos.com/2013/03/05/russian-ransomware-windows-powershell/.
Источник

Загрузка...