Появился вариант блокера-шифровальщика PowerWare, который заимствует внешние признаки своего успешного собрата в надежде, что испуганные пользователи охотнее будут платить. По свидетельству Palo Alto Networks, новый образец вымогателя заметно слабее Locky, которого он имитирует, и быстро меняет свои тактики.

Так, ко всем зашифрованным файлам новичок добавляет расширение .locky, использует сообщение этого блокера с требованием выкупа и его же текст с инструкциями для жертв заражения. Однако, в отличие от своего более грозного соперника, обновленный PowerWare хранит ключи для расшифровки в собственном коде, так что их можно извлечь и создать бесплатный декриптор.

«В случае заражения Locky единственный способ вернуть файлы — это уплата выкупа, — поясняет Райан Олсон (Ryan Olson), руководитель исследовательского подразделения Palo Alto (Unit 42). — Однако PowerWare менее технически зрел, чем Locky». Для шифрования новобранец использует AES-128 и шифрует лишь первые 2048 байт целевых файлов. Эксперты создали Python-скрипт, способный извлекать статический ключ из кода PowerWare и выполнять расшифровку.

«PowerWare имитирует другие семейства зловредов далеко не первый раз, — отметили исследователи в своем новом отчете. — Его более ранние версии использовали требование выкупа CryptoWall. Заимствование чужого кода, к примеру, у TeslaCrypt — нередкое явление среди вымогателей».

PowerWare имитирует Locky

PowerWare является производным от PoshCoder, известного с 2014 года шифровальщика, и распространяется в основном так же, как PoshCoder, — через документы Microsoft Word со встроенным макросом. Вредоносную активность PowerWare прикрывает, используя Windows-утилиту PowerShell.

При открытии вредоносного документа пользователя просят включить макрос. Если он последует этой подсказке, активируется cmd.exe, который вызовет PowerShell для загрузки вредоносного скрипта и запуска его на исполнение.

Категории: Аналитика, Вредоносные программы