Русскоязычный вирус-вымогатель использует новую технологию
Опубликовано00:40 8.03.2013
Новость прислал SoftPortal
ИсточникInternetUA
РазделАнти/вирусы
Просмотров916
Написать отзыв

Поделиться:

Вконтакте Мой мир в Mail.ru LiveJournal (Живой Журнал) Twitter Facebook Письмо другу

Специалисты антивирусной компании Sophos обнаружили и изучили интересный образец вируса-вымогателя, в котором используется Windows PowerShell (WPS) – язык сценариев, который позволяет системным администраторам автоматизировать выполнение различных операций в своей сети.

В изученном вирусе сценарии на языке WPS используются, чтобы шифровать файлы на компьютере жертвы и удерживать их «в заложниках» до уплаты выкупа. Примечательно, что вирус-вымогатель оснащен интерфейсом на русском языке, что явно указывает – вымогать деньги планируется именно у русскоязычных пользователей, либо у тех, кто из-за пропагандистского образа «русских хакеров» побоится обращаться к легальным специалистам.

Вирусы-вымогатели, также известные под названиями «вин-локеры», «баннеры» и так далее, стали одним из самых эффективных на сегодняшний день методов для получения нелегального дохода в киберпространстве. Тем не менее, разработчики этого опасного класса программ даже не думают почивать на лаврах, продолжая поиск новых видов тактики и оттачивание схем вымогательства. Одним из примеров непрерывного технического прогресса в сфере киберпреступности стало использование в вирусе языка сценариев WPS, ранее известного исключительно как инструмент сетевых администраторов.

Вредоносный компонент вируса-вымогателя распространяется по электронной почте в виде HTA-файла, присоединенного к спам-рассылке. Один из скриптов в этом HTA-файле проверяет, установлен ли компонент Windows PowerShell на заражаемой системе. Если нет, то установщик WPS специально загружается через сервис Dropbox и запускается. Следует заметить, что интерпретатор PowerShell устанавливается по умолчанию во всех редакциях Windows 7 и более поздних версиях Windows, однако, и в более ранних версиях его всегда можно установить вручную.

Второй компонент вируса-вымогателя из HTA-файла представляет собой сценарий на языке PowerShell, который выполняет шифрование файлов с помощью алгоритма «Rijndael» с симметричными ключами. Для захвата в заложники вирус ищет потенциально важные для пользователя файлы по 163 различным расширениям, включая документы, видеозаписи и картинки.

Когда файлы для захвата выбраны и зашифрованы, на жесткий диск зараженной машины сбрасывается текстовый файл под названием «READ_ME_NOW.txt». В этом файле содержится сообщение на русском языке с инструкцией по передаче выкупа для восстановления файлов. В частности, вымогатели предлагают жертве отправить данную копию файла «READ_ME_NOW.txt» на специальный веб-сайт, поскольку в файле содержится некий уникальный «код». После отправки файла через веб-форму пользователям предлагается уплатить 10 тысяч рублей за восстановление файлов.

В некоторых случаях при заражении такими вирусами почти невозможно восстановить файлы без уплаты выкупа, поскольку для шифрования используется очень стойкий алгоритм. В то же время, конкретно в данном случае необходимый ключ дешифровки можно получить теми же средствами языка PowerShell. Дело в том, что здесь используется два ключа: глобально уникальный идентификатор UUID (Universally Unique Identifier), сохраняемый в файле .FTCODE, а также случайно сгенерированный ключ в виде строки из 50 символов, сохраняемый в файле .BTCODE. Первый ключ можно восстановить командой «Get-wmiobject Win32_ComputerSystemProduct UUID», а второй – командой «Gwmi win32_computerSystem Model». Подробнее о расследовании компании Sophos можно прочитать в корпоративном блоге по адресу http://nakedsecurity.sophos.com/2013/03/05/russian-ransomware-windows-powershell/.

Отзывы о новости Русскоязычный вирус-вымогатель использует новую технологию

 AdminОтзывов о новости "Русскоязычный вирус-вымогатель использует новую технологию" пока нет, можете добавить...
08-03-2013
00:40
 
 
Свежие новости
  • Топ-8 нововведений в OS X Yosemite
    Топ-8 нововведений в OS X Yosemite

    На минувшей неделе состоялся финальный релиз OS X Yosemite – новой редакции операционной системы для компьютеров Mac с обновленным дизайном и множеством новых функций...

  • Microsoft Office 16 может выйти в любой момент
    Microsoft Office 16 может выйти в любой момент

    Следующая версия офисного пакета от Microsoft выйдет весной 2015 года, однако публичную бета-сборку Office 16 корпорация выпустит гораздо раньше. По словам Мэри Джо Фоли, главного редактора ZDNet, это может произойти в любой момент...

  • В Skype появилась поддержка рисованных сообщений
    В Skype появилась поддержка рисованных сообщений

    Компания Microsoft обновила клиент мессенджера Skype для платформы Windows Phone. Версия 2.24 не только стала быстрее запускаться, но и получила новые функции, самой интересной из которых стала возможность отправлять рисунки...

  • Google модифицирует поисковик для борьбы с пиратством
    Google модифицирует поисковик для борьбы с пиратством

    Google объявила о модификации своего поискового механизма в целях усиления борьбы с сетевым пиратством...

   
  • Google опубликовала руководство по переходу с iOS на Android
    Google опубликовала руководство по переходу с iOS на Android

    В ближайшее время владельцы «гуглофонов» смогут установить новую версию операционной системы Android 5.0 Lolipop...

  • Apple выпустила iOS 8.1
    Apple выпустила iOS 8.1

    Apple выпустила крупное обновление iOS под номером 8.1. Компания исправила большое количество недоработок и добавила новые важные функции - к примеру, отныне читать приходящие на iPhone СМС и отвечать на них можно с помощью Mac или iPad...

  • Gmail для Android начнет поддерживать сторонние почтовые сервисы
    Gmail для Android начнет поддерживать сторонние почтовые сервисы

    В Google полностью переработали клиент Gmail для Android в стиле "материального дизайна", а также добавили поддержку конкурирующих сервисов, таких как Outlook.com или почту Yahoo...

  • Apple шпионит за пользователями Mac
    Apple шпионит за пользователями Mac

    Оказывается, не только Windows 10 Technical Preview собирает конфиденциальные данные. Стало известно, что и новая версия Mac OS X Yosemite (10.10) тоже следит за пользователями, но не в таком глобальном масштабе...

Все новости

 
Вход на аккаунт посетителя
Логин:
Пароль:
Входить автоматически: 
Категории
ГАДЖЕТЫ
ЖЕЛЕЗО
ИНТЕРНЕТ
ПРОГРАММЫ
РАЗНОЕ
БЕЗОПАСНОСТЬ
Защита данных
Патчи
Уязвимости
 
Календарь
<- Октябрь 2014
ПнВтСрЧт ПтСбВс
  12345
6789101112
13141516171819
20
21
2223242526
2728293031  
Сегодня Архив

Наш магазин программ
Наш магазин ПО