Русский вирус-блокировщик использует Windows PowerShell для обмана пользователей

image

Теги: Sophos, вирус, шифрование

Эксперты SophosLabs исследовали «новый трюк» мошенников, вымогающих деньги за расшифровку информации.

Как сообщают исследователи из SophosLabs, недавно им удалось обнаружить вредоносное приложение, блокирующее работу компьютера и вымогающее деньги за возвращение доступа к операционной системе.

«Один из наших клиентов предоставил образец вируса-вымогателя, который сразу же нас заинтересовал, поскольку он использует Windows PowerShell для шифрования файлов», - сообщают эксперты.

Отметим, что Windows PowerShell – это язык сценариев, разработанный компанией Microsoft и предназначенный для использования системными администраторами в целях автоматизации определенных задач. Это программное обеспечение предустановлено в ОС начиная с Windows 7 и может быть установлено на более ранние версии.

По данным SophosLabs, обнаруженный ими вирус использует распространенный алгоритм шифрования Rijndael, содержащийся в Windows PowerShell (функция «CreateEncryptor()»). Кроме того, исследователи сообщают, что вредоносное приложение, вероятнее всего было создано русскими вирусописателями, поскольку мошенническая схема ориентирована только на носителей этого языка.

Ознакомиться с отчетом SophosLabs можно здесь


или введите имя

CAPTCHA
Андрей
06-03-2013 09:24:26
РАСШИФРОВЩИК.PS1 cls$null = [Reflection.Assembly]::LoadWithPartialName("System.Security");$ek=(get-wmiobject Win32_ComputerSystemProduct).UUID; function Decrypt-String($Encrypted, $Passphrase){       $salt="BMCODE hack your system"   $init="BMCODE INIT"   $r = new-Object System.Security.Cryptography.RijndaelManaged    $pass = [Text.Encoding]::UTF8.GetBytes($Passphrase)    $salt = [Text.Encoding]::UTF8.GetBytes($salt)    $r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32)   $r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15]   $r.Padding="Zeros";   $r.Mode="CBC";   $d = $r.CreateDecryptor()   $ms = new-Object IO.MemoryStream @(,$Encrypted)    $cs = new-Object Security.Cryptography.CryptoStream $ms,$d,"Read"    $Enc=$cs.read($Encrypted, 0,$Encrypted.Length)   $cs.Close();   $ms.Close();   $r.Clear();    return [byte[]]$Encrypted = $ms.ToArray()} $dir= read-host "Введите полный пусь к папке или диску (Примеры: C:\, D:\111\)" gci $dir -Recurse -Include "*.BMCODE"|%{try {$_;$file=[io.file]::Open($_, 'Open', 'ReadWrite');#Wrire-host $file.Name;write-Host "Размер файла:  $file.Length";If ($file.Length -lt "40960"){$size=$file.Length}Else{$size="40960"}[byte[]]$buff = new-object byte[] $size;$ToEncrypt = $file.Read($buff, 0, $buff.Length);write-host $size;$file.Position='0';$arr=Decrypt-String $buff $ek;Write-host $_.NameWrite-host $_.FullName$file.Write($arr, 0, $arr.Length);Write-host "Done";$file.Close();$newname=$_.Name -replace '.BMCODE','';ren -Path $_.FullName -NewName $newname -Force;Write-Host "Новое имя: $_.Name";$hnya=$_.DirectoryName+'\READ_ME_NOW!!!!!!.TXT'rm $hnya;}catch{}}
0 |
rogue
06-03-2013 14:36:45
Мб ты еще и пароли из их мозга выдереш? to Андрей расшифровщик...
0 |
BMCODE hack your system
07-03-2013 02:42:08
Держи: 770f8f4dda4bc2ad2d1c66806fd0eb5d
0 |
Punyaan
06-03-2013 17:55:30
$hnya - хорошая переменная
0 |