Новини

12:14
В США сошел с рельсов поезд со 120 авто BMW (видео)
11:58
Киевские перевозчики поднимут стоимость проезда до 8 грн
11:55
Amazon открыла "супермаркет будущего", в котором нет касс
11:21
Роботов уравняют в правах с людьми к 2056 году
11:10
Кредит под залог недвижимости: правильный выбор?
10:36
Секретное хранилище времен Второй мировой войны обнаружено во Франции
10:30
Население существует для того, чтобы платить налоги, – финансист Порошенко
10:21
Золотовалютные резервы Украины снизились впервые в 2016 году
10:18
Налички из деклараций нардепов хватит, чтобы год строить дороги по всей стране. Инфографика
10:15
Успешно запущена ракета «Вега» с украинским двигателем
09:54
Порошенко очень заинтересован в продолжении войны - опальный Онищенко
09:42
Трамп резко поменял свою позицию относительно Украины
09:40
Евросоюз отреагировал на протесты общества против снятия запрета на вырубку леса
09:35
Байден заявил, что задумал в 78 лет стать президентом
09:07
Родственникам не отдают тела убитых полицейских в Княжичах
08:58
Озвучена сумма мировой помощи Донбассу на 2017 год
08:55
51-летняя Повалий вышла в свет с откровенным вырезом на груди
08:36
Оксана Марченко покорила эффектным нарядом
08:29
Огромная змея залезла под капот автомобиля
08:05
Анна Седокова шокировала снимком в постели с Чадовым
07:54
Эпидпорог в Украине уже превышен
07:49
"Что вы хотите, они сами обворовывали дома" - Москаль о перестрелке в Княжичах
07:40
Легендарный певец Крис Кельми срочно госпитализирован в тяжелом состоянии
07:30
Чтобы взломать карту Visa и украсть ваши деньги нужно всего несколько секунд
07:11
Неудачный запуск российской ракеты с установки С-300
07:10
Вера Брежнева в пижаме умилила поклонников
07:07
Украина заняла девятое место по экспорту оружия в мире
21:20
Захарченко и Плотницкий ненавидят друг друга - Ходаковский
19:46
Руслан Сольвар забыл задекларировать недвижимость родственников на 36 млн
19:43
Охраннику Порошенко дали государственную квартиру за $250 тысяч
19:40
Ученые выяснили, куда пропали люди с Марса
13:20
Компромат на Порошенко. Интервью беглого Онищенко россТВ
12:49
Медведев понизил прожиточный уровень в России
12:45
"Азов" вступил в открытое противостояние со ставленником Авакова Черемухиным
12:39
Уголовник Хмара Алексей. Как обворовывать доноров
10:10
В гробнице Христа в Иерусалиме нашли еще одну могильную плиту
10:01
Евро рухнул до минимума за 21 месяц на итогах референдума в Италии
09:40
"Квартал 95" показал, как с украинцев будут "выбивать" долги за коммуналку
Більше новин

Русскоязычный вирус-вымогатель использует новую технологию

0

Специалисты антивирусной компании Sophos обнаружили и изучили интересный образец вируса-вымогателя, в котором используется Windows PowerShell (WPS) – язык сценариев, который позволяет системным администраторам автоматизировать выполнение различных операций в своей сети.

Русскоязычный вирус-вымогатель использует новую технологию
В изученном вирусе сценарии на языке WPS используются, чтобы шифровать файлы на компьютере жертвы и удерживать их «в заложниках» до уплаты выкупа. Примечательно, что вирус-вымогатель оснащен интерфейсом на русском языке, что явно указывает – вымогать деньги планируется именно у русскоязычных пользователей, либо у тех, кто из-за пропагандистского образа «русских хакеров» побоится обращаться к легальным специалистам.

Вирусы-вымогатели, также известные под названиями «вин-локеры», «баннеры» и так далее, стали одним из самых эффективных на сегодняшний день методов для получения нелегального дохода в киберпространстве. Тем не менее, разработчики этого опасного класса программ даже не думают почивать на лаврах, продолжая поиск новых видов тактики и оттачивание схем вымогательства. Одним из примеров непрерывного технического прогресса в сфере киберпреступности стало использование в вирусе языка сценариев WPS, ранее известного исключительно как инструмент сетевых администраторов.

Вредоносный компонент вируса-вымогателя распространяется по электронной почте в виде HTA-файла, присоединенного к спам-рассылке. Один из скриптов в этом HTA-файле проверяет, установлен ли компонент Windows PowerShell на заражаемой системе. Если нет, то установщик WPS специально загружается через сервис Dropbox и запускается. Следует заметить, что интерпретатор PowerShell устанавливается по умолчанию во всех редакциях Windows 7 и более поздних версиях Windows, однако, и в более ранних версиях его всегда можно установить вручную.

Второй компонент вируса-вымогателя из HTA-файла представляет собой сценарий на языке PowerShell, который выполняет шифрование файлов с помощью алгоритма «Rijndael» с симметричными ключами. Для захвата в заложники вирус ищет потенциально важные для пользователя файлы по 163 различным расширениям, включая документы, видеозаписи и картинки.

Когда файлы для захвата выбраны и зашифрованы, на жесткий диск зараженной машины сбрасывается текстовый файл под названием «READ_ME_NOW.txt». В этом файле содержится сообщение на русском языке с инструкцией по передаче выкупа для восстановления файлов. В частности, вымогатели предлагают жертве отправить данную копию файла «READ_ME_NOW.txt» на специальный веб-сайт, поскольку в файле содержится некий уникальный «код». После отправки файла через веб-форму пользователям предлагается уплатить 10 тысяч рублей за восстановление файлов.

В некоторых случаях при заражении такими вирусами почти невозможно восстановить файлы без уплаты выкупа, поскольку для шифрования используется очень стойкий алгоритм. В то же время, конкретно в данном случае необходимый ключ дешифровки можно получить теми же средствами языка PowerShell. Дело в том, что здесь используется два ключа: глобально уникальный идентификатор UUID (Universally Unique Identifier), сохраняемый в файле .FTCODE, а также случайно сгенерированный ключ в виде строки из 50 символов, сохраняемый в файле .BTCODE. Первый ключ можно восстановить командой «Get-wmiobject Win32_ComputerSystemProduct UUID», а второй – командой «Gwmi win32_computerSystem Model». Подробнее о расследовании компании Sophos можно прочитать в корпоративном блоге по адресу http://nakedsecurity.sophos.com/2013/03/05/russian-ransomware-windows-powershell/.
Источник

Загрузка...