Новини

14:20
Сергей Соседов, заработав состояние в Украине, унизил украинцев в эфире росТВ (видео)
14:04
Росіяни попалися на крадіжці у турецькому готелі: хотіли вивезти туалетний папір й навіть квіти з корінням
13:20
Вирус Petya.A повлиял на начало вступительной кампании в Украине
11:16
Касперский: После атаки Petya.A никакие данные не восстановятся
11:01
Украину обедняют с целью взять под контроль миллиарды долларов - эксперт
10:53
Исторический момент: названа дата старта свободной торговли Украины с Канадой
10:43
На Закарпатті суд де-факто визнав законним подвійне громадянство
10:07
Учёные показали всю историю Земли за одну минуту
10:01
Порошенко: Трамп подал мощный сигнал, конфликт на Донбассе разрешить легко
09:34
Названы самые опасные продукты для мужчин
09:26
Соцсети высмеяли отношение РФ к своим пленным солдатам
09:18
Выборы Президента обойдутся Украине в 1,9 миллиарда гривень
09:08
Украина стала мировым лидером по падению цен на жилье
08:56
В Черкассах выпускники угнали автобус "Богдан" и разгромили на нем кладбище
08:48
Bloomberg: сегодня Трамп объявит о начале поставок угля в Украину
08:40
47-летняя Светлана Вольнова в вызывающем мини покорила внешним видом
08:37
Сколько украинцев поддерживают легализацию продажи оружия
08:27
Наташа Королева поразила снимком в купальнике
08:18
Боевики в панике: В сети показали, как бойцы АТО уничтожают террористов "ЛНР"
08:00
Какой вред семечки несут нашему организму
07:58
Рианна обескуражила поклонников нелепым нарядом
07:45
Деми Мур в украинской вышиванке показалась в трейлере нового фильма
07:38
Назван самый опасный вид стирального порошка
07:33
Казначея Ватикана обвиняют в развращении несовершеннолетних
07:27
Ольга Романовская оконфузилась из-за короткой юбки
07:20
Втирание кока-колы в кожу ради загара признали опасным
07:17
Японцы будут производить электрокабель в украинских тюрьмах
07:14
Из-за давления на телеканале ZIK закрыли програму Саакашвили
07:11
Украину ждет еще один безвиз?
07:09
"Никогда так не радовался возвращению домой": американского телеведущего шокировала Россия
07:07
Многоходовочка: Елкин изобразил на карикатуре "этапы большого пути" Путина
07:04
Оля Полякова показала лицо без макияжа
20:52
В Николаеве полицейский наступил на голову лежащему в наручниках мужчине
20:45
Стало известно, как выглядит письмо с вирусом Petya.A
20:41
Министр обороны Полторак начал рабочий визит в штаб-квартиру НАТО
20:39
Исполнять функции президента ПАСЕ будет представитель Украины
19:13
Во Львове строительный кран рухнул на автомобили
19:09
Израильский специалист нашел способ, как бороться с вирусом Petya
Більше новин

Русскоязычный вирус-вымогатель использует новую технологию

0

Специалисты антивирусной компании Sophos обнаружили и изучили интересный образец вируса-вымогателя, в котором используется Windows PowerShell (WPS) – язык сценариев, который позволяет системным администраторам автоматизировать выполнение различных операций в своей сети.

Русскоязычный вирус-вымогатель использует новую технологию
В изученном вирусе сценарии на языке WPS используются, чтобы шифровать файлы на компьютере жертвы и удерживать их «в заложниках» до уплаты выкупа. Примечательно, что вирус-вымогатель оснащен интерфейсом на русском языке, что явно указывает – вымогать деньги планируется именно у русскоязычных пользователей, либо у тех, кто из-за пропагандистского образа «русских хакеров» побоится обращаться к легальным специалистам.

Вирусы-вымогатели, также известные под названиями «вин-локеры», «баннеры» и так далее, стали одним из самых эффективных на сегодняшний день методов для получения нелегального дохода в киберпространстве. Тем не менее, разработчики этого опасного класса программ даже не думают почивать на лаврах, продолжая поиск новых видов тактики и оттачивание схем вымогательства. Одним из примеров непрерывного технического прогресса в сфере киберпреступности стало использование в вирусе языка сценариев WPS, ранее известного исключительно как инструмент сетевых администраторов.

Вредоносный компонент вируса-вымогателя распространяется по электронной почте в виде HTA-файла, присоединенного к спам-рассылке. Один из скриптов в этом HTA-файле проверяет, установлен ли компонент Windows PowerShell на заражаемой системе. Если нет, то установщик WPS специально загружается через сервис Dropbox и запускается. Следует заметить, что интерпретатор PowerShell устанавливается по умолчанию во всех редакциях Windows 7 и более поздних версиях Windows, однако, и в более ранних версиях его всегда можно установить вручную.

Второй компонент вируса-вымогателя из HTA-файла представляет собой сценарий на языке PowerShell, который выполняет шифрование файлов с помощью алгоритма «Rijndael» с симметричными ключами. Для захвата в заложники вирус ищет потенциально важные для пользователя файлы по 163 различным расширениям, включая документы, видеозаписи и картинки.

Когда файлы для захвата выбраны и зашифрованы, на жесткий диск зараженной машины сбрасывается текстовый файл под названием «READ_ME_NOW.txt». В этом файле содержится сообщение на русском языке с инструкцией по передаче выкупа для восстановления файлов. В частности, вымогатели предлагают жертве отправить данную копию файла «READ_ME_NOW.txt» на специальный веб-сайт, поскольку в файле содержится некий уникальный «код». После отправки файла через веб-форму пользователям предлагается уплатить 10 тысяч рублей за восстановление файлов.

В некоторых случаях при заражении такими вирусами почти невозможно восстановить файлы без уплаты выкупа, поскольку для шифрования используется очень стойкий алгоритм. В то же время, конкретно в данном случае необходимый ключ дешифровки можно получить теми же средствами языка PowerShell. Дело в том, что здесь используется два ключа: глобально уникальный идентификатор UUID (Universally Unique Identifier), сохраняемый в файле .FTCODE, а также случайно сгенерированный ключ в виде строки из 50 символов, сохраняемый в файле .BTCODE. Первый ключ можно восстановить командой «Get-wmiobject Win32_ComputerSystemProduct UUID», а второй – командой «Gwmi win32_computerSystem Model». Подробнее о расследовании компании Sophos можно прочитать в корпоративном блоге по адресу http://nakedsecurity.sophos.com/2013/03/05/russian-ransomware-windows-powershell/.
Источник


Загрузка...