Криптовымогатели осваивают PowerShell

Компания Trend Micro зафиксировала появление модульной вредоносной программы TROJ_POSHCODER.A, которая использует в своей работе сценарный язык программирования Windows PowerShell. Он позволяет вредоносу настроиться под конкретную операционную систему и зашифровать файлы с учётом особенностей зараженного компьютера. Вредонос шифрует данные пользователя с помощью алгоритма AES, а все коммуникации со своими владельцами защищает с помощью асимметричного шифрования по алгоритму RSA4096, то есть взломать шифрование простым перебором уже не получится. Как именно код попадает на компьютер пользователя компания не сообщает.

Для выкупа и расшифрования пользовательских данных авторы вредоноса требуют установить электронный кошелёк Multibit. Когда приложение установлено вымогатели присылают инструкции по совершению оплаты и дешифрования захваченных данных. Пока вредонос атакует в основном американских пользователей, однако написан он так, чтобы иметь возможность в дальнейшем атаковать и пользователей других национальностей - во всяком случае авторы могут легко модифицировать сценарий работы вредоноса так, чтобы он мог выдавать сообщения и инструкции на других языках.

Как отмечают в Trend Micro ранее вымогатели жёстко вшивали сообщение о выкупе в код самой троянской программы. Теперь же они сделали фактически универсальную платформу для создания программ-вымогателей, где выдаваемые вредоносом сообщения могут варьироваться в зависимости от настроек операционной системы.

Оцените материал:
Total votes: 118
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.