Новини

11:30
Диетологи поделились полезной информацией для худеющих
11:15
Солистка Виа-Гры показала фигуру в откровенном купальнике
10:55
В Днепре горел популярный аквапарк
10:45
Голливуд снимет сериал о Brexit
10:30
Ученые сделали сенсационное заявление для курильщиков
10:14
Сеть в восторге от нового образа Оли Поляковой
09:49
Катя Осадчая прогулялась по Испании в платье за 500 евро
09:43
В Германии "голубые карты" получили уже почти две тысячи украинцев
09:39
"Ползла по дороге у остановки". Киев окружили змеи
08:22
"Космические" зарплаты Минюста разъярили украинцев
документ
08:18
6 міфів про вечерю після 18.00
07:59
Оля Полякова поразила Сеть пикантным образом
19:30
Це загроза загальнодержавного характеру. Як на мене, вона небезпечніша ніж навіть війна. Без перебільшення, — Гриценко
19:16
Альбина Джанабаева поразила стройной фигурой в купальнике
19:12
Инжир: польза для здоровья и секреты употребления
19:00
Сколько "стоит" пенсия в Украине и других странах
18:58
В Украине объявлен высший уровень пожарной опасности
18:55
Дело ПриватБанка: Украину предупредили об огромных убытках
16:07
Елена Кравец из "Квартала 95" показала фото в купальнике
15:20
Жвачка помогает выявить скрытые заболевания
15:13
Я не сепаратист, нас заставляли - Кернес о попытке создать ХНР
15:10
Украинские пограничники перешли на усиленный режим работы
13:29
Эксперты составили «черный список» косметики
12:52
В Раде готовят самое суровое наказание для пьяных водителей
12:50
В Украине появился новый вид мошенничества: воры «модернизируют» банкоматы
12:47
В Украине запущен масштабный процесс эмансипации от России
12:35
Стоп мясу. Сосиски и котлеты вызывают рак
12:33
Могилевская показала пикантную фотографию из спортзала
08:31
Видеошок: апокалиптическое облако в виде "руки Бога" напугало бразильцев
08:26
У Ани Лорак взлетело платье на пляже в Турции
08:19
Как не заразиться вирусом Petya.A и ему подобными
08:02
Как быстро избавиться от похмелья без таблеток
07:54
Даша Астафьева похвасталась пышной грудью в необычном купальнике
07:48
Девушка с собакой: Появились фото нового заместителя министра Ревы по евроинтеграции
07:44
Россияне завидуют Украине: генерал сделал яркое заявление
07:39
В Запорожье собрали первый украинский вертолет
07:38
"Великое американское затмение" погрузит материк во тьму
07:25
Как очистить кишечник от шлаков
Більше новин

Русскоязычный вирус-вымогатель использует новую технологию

0

Специалисты антивирусной компании Sophos обнаружили и изучили интересный образец вируса-вымогателя, в котором используется Windows PowerShell (WPS) – язык сценариев, который позволяет системным администраторам автоматизировать выполнение различных операций в своей сети.

Русскоязычный вирус-вымогатель использует новую технологию
В изученном вирусе сценарии на языке WPS используются, чтобы шифровать файлы на компьютере жертвы и удерживать их «в заложниках» до уплаты выкупа. Примечательно, что вирус-вымогатель оснащен интерфейсом на русском языке, что явно указывает – вымогать деньги планируется именно у русскоязычных пользователей, либо у тех, кто из-за пропагандистского образа «русских хакеров» побоится обращаться к легальным специалистам.

Вирусы-вымогатели, также известные под названиями «вин-локеры», «баннеры» и так далее, стали одним из самых эффективных на сегодняшний день методов для получения нелегального дохода в киберпространстве. Тем не менее, разработчики этого опасного класса программ даже не думают почивать на лаврах, продолжая поиск новых видов тактики и оттачивание схем вымогательства. Одним из примеров непрерывного технического прогресса в сфере киберпреступности стало использование в вирусе языка сценариев WPS, ранее известного исключительно как инструмент сетевых администраторов.

Вредоносный компонент вируса-вымогателя распространяется по электронной почте в виде HTA-файла, присоединенного к спам-рассылке. Один из скриптов в этом HTA-файле проверяет, установлен ли компонент Windows PowerShell на заражаемой системе. Если нет, то установщик WPS специально загружается через сервис Dropbox и запускается. Следует заметить, что интерпретатор PowerShell устанавливается по умолчанию во всех редакциях Windows 7 и более поздних версиях Windows, однако, и в более ранних версиях его всегда можно установить вручную.

Второй компонент вируса-вымогателя из HTA-файла представляет собой сценарий на языке PowerShell, который выполняет шифрование файлов с помощью алгоритма «Rijndael» с симметричными ключами. Для захвата в заложники вирус ищет потенциально важные для пользователя файлы по 163 различным расширениям, включая документы, видеозаписи и картинки.

Когда файлы для захвата выбраны и зашифрованы, на жесткий диск зараженной машины сбрасывается текстовый файл под названием «READ_ME_NOW.txt». В этом файле содержится сообщение на русском языке с инструкцией по передаче выкупа для восстановления файлов. В частности, вымогатели предлагают жертве отправить данную копию файла «READ_ME_NOW.txt» на специальный веб-сайт, поскольку в файле содержится некий уникальный «код». После отправки файла через веб-форму пользователям предлагается уплатить 10 тысяч рублей за восстановление файлов.

В некоторых случаях при заражении такими вирусами почти невозможно восстановить файлы без уплаты выкупа, поскольку для шифрования используется очень стойкий алгоритм. В то же время, конкретно в данном случае необходимый ключ дешифровки можно получить теми же средствами языка PowerShell. Дело в том, что здесь используется два ключа: глобально уникальный идентификатор UUID (Universally Unique Identifier), сохраняемый в файле .FTCODE, а также случайно сгенерированный ключ в виде строки из 50 символов, сохраняемый в файле .BTCODE. Первый ключ можно восстановить командой «Get-wmiobject Win32_ComputerSystemProduct UUID», а второй – командой «Gwmi win32_computerSystem Model». Подробнее о расследовании компании Sophos можно прочитать в корпоративном блоге по адресу http://nakedsecurity.sophos.com/2013/03/05/russian-ransomware-windows-powershell/.
Источник


Загрузка...