Русскоязычный вирус-вымогатель использует новую технологию
Опубликовано00:40 8.03.2013
Новость прислал SoftPortal
ИсточникInternetUA
РазделАнти/вирусы
Просмотров908
Написать отзыв

Поделиться:

Вконтакте Мой мир в Mail.ru LiveJournal (Живой Журнал) Twitter Facebook Письмо другу

Специалисты антивирусной компании Sophos обнаружили и изучили интересный образец вируса-вымогателя, в котором используется Windows PowerShell (WPS) – язык сценариев, который позволяет системным администраторам автоматизировать выполнение различных операций в своей сети.

В изученном вирусе сценарии на языке WPS используются, чтобы шифровать файлы на компьютере жертвы и удерживать их «в заложниках» до уплаты выкупа. Примечательно, что вирус-вымогатель оснащен интерфейсом на русском языке, что явно указывает – вымогать деньги планируется именно у русскоязычных пользователей, либо у тех, кто из-за пропагандистского образа «русских хакеров» побоится обращаться к легальным специалистам.

Вирусы-вымогатели, также известные под названиями «вин-локеры», «баннеры» и так далее, стали одним из самых эффективных на сегодняшний день методов для получения нелегального дохода в киберпространстве. Тем не менее, разработчики этого опасного класса программ даже не думают почивать на лаврах, продолжая поиск новых видов тактики и оттачивание схем вымогательства. Одним из примеров непрерывного технического прогресса в сфере киберпреступности стало использование в вирусе языка сценариев WPS, ранее известного исключительно как инструмент сетевых администраторов.

Вредоносный компонент вируса-вымогателя распространяется по электронной почте в виде HTA-файла, присоединенного к спам-рассылке. Один из скриптов в этом HTA-файле проверяет, установлен ли компонент Windows PowerShell на заражаемой системе. Если нет, то установщик WPS специально загружается через сервис Dropbox и запускается. Следует заметить, что интерпретатор PowerShell устанавливается по умолчанию во всех редакциях Windows 7 и более поздних версиях Windows, однако, и в более ранних версиях его всегда можно установить вручную.

Второй компонент вируса-вымогателя из HTA-файла представляет собой сценарий на языке PowerShell, который выполняет шифрование файлов с помощью алгоритма «Rijndael» с симметричными ключами. Для захвата в заложники вирус ищет потенциально важные для пользователя файлы по 163 различным расширениям, включая документы, видеозаписи и картинки.

Когда файлы для захвата выбраны и зашифрованы, на жесткий диск зараженной машины сбрасывается текстовый файл под названием «READ_ME_NOW.txt». В этом файле содержится сообщение на русском языке с инструкцией по передаче выкупа для восстановления файлов. В частности, вымогатели предлагают жертве отправить данную копию файла «READ_ME_NOW.txt» на специальный веб-сайт, поскольку в файле содержится некий уникальный «код». После отправки файла через веб-форму пользователям предлагается уплатить 10 тысяч рублей за восстановление файлов.

В некоторых случаях при заражении такими вирусами почти невозможно восстановить файлы без уплаты выкупа, поскольку для шифрования используется очень стойкий алгоритм. В то же время, конкретно в данном случае необходимый ключ дешифровки можно получить теми же средствами языка PowerShell. Дело в том, что здесь используется два ключа: глобально уникальный идентификатор UUID (Universally Unique Identifier), сохраняемый в файле .FTCODE, а также случайно сгенерированный ключ в виде строки из 50 символов, сохраняемый в файле .BTCODE. Первый ключ можно восстановить командой «Get-wmiobject Win32_ComputerSystemProduct UUID», а второй – командой «Gwmi win32_computerSystem Model». Подробнее о расследовании компании Sophos можно прочитать в корпоративном блоге по адресу http://nakedsecurity.sophos.com/2013/03/05/russian-ransomware-windows-powershell/.

Отзывы о новости Русскоязычный вирус-вымогатель использует новую технологию

 AdminОтзывов о новости "Русскоязычный вирус-вымогатель использует новую технологию" пока нет, можете добавить...
08-03-2013
00:40
 
 
Свежие новости
  • Почему пользователи ненавидят Windows
    Почему пользователи ненавидят Windows

    Участники сообщества Quora заинтересовались причинами нелюбви пользователей к Windows. Siliconrus выбрал самые интересные ответы из дискуссии...

  • В Интернете уже более миллиарда сайтов
    В Интернете уже более миллиарда сайтов

    Как сообщает MIGnews.com, ссылаясь на данные онлайн-трекера Internet Live Stats, количество сайтов, зарегистрированных в мировой сети, превысило миллиард и продолжает расти ускоренными темпами...

  • Facebook создает приватный мессенджер
    Facebook создает приватный мессенджер

    Социальная сеть Facebook заканчивает разработку приложения для приватного общения между узкими кругами людей. Оно позволит переписываться, делиться фотографиями, "статусами" и местоположением только с родственниками и близкими друзьями...

  • По итогам августа поток спама снизился до 62,6%
    По итогам августа поток спама снизился до 62,6%

    В августе Symantec зафиксировала снижение спам-потока на 1,1 процентных пункта; в этом месяце на долю нелегитимных писем, по данным компании, пришлось 62,6% почтовой корреспонденции...

   
  • Apple выпустила обновление OS X Mavericks 10.9.5
    Apple выпустила обновление OS X Mavericks 10.9.5

    Вместе с iOS 8 и Apple TV 7.0 компания Apple выпустила финальную версию обновления OS X Mavericks 10.9.5. Это пятый и последний апдейт для десктопной платформы, ставшей самой популярной среди владельцев компьютеров Mac...

  • Кибермошенники воровали деньги Android-пользователей
    Кибермошенники воровали деньги Android-пользователей

    Правоохранительные органы Российской Федерации задержали хакеров, которые при помощи вируса для ОС Android воровали деньги у клиентов мобильного банка...

  • Главой
    Главой "ВКонтакте" назначили Бориса Добродеева

    Руководство "ВКонтакте", крупнейшей социальной сети в Рунете, объявило о назначении нового генерального директора. Им стал Борис Добродеев — сын директора холдинга ВГТРК Олега Добродеева...

  • Новый механизм защиты Windows 8.1 можно взломать
    Новый механизм защиты Windows 8.1 можно взломать

    Очередное поколение Microsoft PatchGuard (или Kernel Patch Protection) для защиты ключевых компонентов Windows 8.1 обладает важными усовершенствованиями, которые должны препятствовать хакерским атакам...

Все новости

 
Вход на аккаунт посетителя
Логин:
Пароль:
Входить автоматически: 
Категории
ГАДЖЕТЫ
ЖЕЛЕЗО
ИНТЕРНЕТ
ПРОГРАММЫ
РАЗНОЕ
БЕЗОПАСНОСТЬ
Защита данных
Патчи
Уязвимости
 
Календарь
<- Сентябрь 2014
ПнВтСрЧт ПтСбВс
1234567
891011121314
151617
18
192021
22232425262728
2930     
Сегодня Архив

Наш магазин программ
Наш магазин ПО