Исследователи компании Carbon Black обнаружили новое вымогательское ПО PowerWare, атакующее преимущественно медицинские организации. Ключевой особенностью вредоноса является использование инструмента PowerShell для шифрования файлов. Windows PowerShell – оболочка командной строки, а также язык сценариев, предназначенный специально для системного администрирования.
PowerWare распространяется посредством фишинговых писем с прикрепленным документом, имитирующим счет-фактуру, пишет издание ComputerWorld. На деле файл Microsoft Word содержит вредоносный макрос. При открытии письма на экране отображается уведомление о необходимости запуска макроса для корректного просмотра документа. После получения разрешения жертвы макрос открывает командную строку Windows (cmd.exe) и запускает два экземпляра PowerShell. Первый загружает ПО PowerWare с удаленного сервера, второй – выполняет скрипт.
Далее процесс происходит по традиционному для подобных типов ПО сценарию. Скрипт генерирует ключ шифрования, используемый для шифрования файлов с определенными расширениями, включая документы, изображения, видеофайлы, архивы и исходный код. Затем ключ отправляется на сервер злоумышленников.
За восстановление доступа к файлам преступники требуют выкуп в $500. В случае, если жертва не выполняет требования злоумышленников в течение двух недель, сумма увеличивается до $1 тыс. PowerWare – не первое вымогательское ПО, эксплуатирующее PowerShell. В 2013 г. специалисты компании SophosLabs обнаружили вредоносную программу с похожим функционалом, атаковавшую русскоязычных пользователей. (Carbon Black/NovostIT)