Uważaj na ransomware i bezpiecznie rozlicz się z fiskusem

4 kwietnia 2016

Analitycy malware z firmy Trend Micro, która zajmuje się bezpieczeństwem i dostarczaniem narzędzi oraz produktów do ochrony stacji roboczych i sieci odkryli nowy wariant krypto-ransomware, który w swoim działaniu bardzo przypomina CryptoWall. PowerWare (tak został nazwany) jest identyfikowany przez antywirusy Trend Micro jako RANSOM_POWERWARE.A. Nazwa szkodnika wzięła się od interpretera PowerShell, którego downloader wykorzystuje do pobrania ransomware.

Szkodnik rozprzestrzenia się tradycyjnie – poprzez spam. Przestępcy załączają dokument z rozszerzeniem DOC z informacją o fakturze. Po otworzeniu dokumentu do wykonania złośliwego kodu makro wymagane jest aktywowanie obsługi makr, które zarówno w MS Office jak i LiberOffice są domyślnie wyłączone. Nie ma więc mowy o automatycznym wykonaniu się złośliwego kodu. Infekcja komputera następuje z winy użytkownika, który daje się wciągnąć w pułapkę.

Złośliwy załącznik z rozszerzeniem DOC

Makro wirus wykorzustuje wiersz poleceń, by z jego pomocą otworzyć interpreter PowerShell.exe i pobrać z sieci skrypt docelowego wirusa napisanego również w PowerShell. Ransomware rozpocznie procedurę szyfrowania plików.

Fragment kodu, który wywołuje PowerShell

PowerWare posiada również zdolność do mapowania dysków sieciowych, co czyni go szczególnie niebezpiecznym dla firm.

Trend Micro zwraca uwagę, że zbliżający się ostateczny termin rozliczenia za rok podatkowy 2015 będzie dla przestępców doskonałą okazją do wyłudzania pieniędzy. My dołączamy się do ostrzeżeń i przestrzegamy przed spamem, którego nieprzeszkolony pracownik może nie rozpoznać.

Szczególnie w tym okresie warto przeszkolić dział księgowy, by jego pracownicy nigdy nie otwierali podejrzanych dokumentów. A jeżeli stacja robocza jest chroniona przez oprogramowanie antywirusowe, które wykorzystuje sandbox, należy utworzyć regułę, dzięki której wszystkie otwierane pliki z klienta poczty będą uruchamiane w piaskownicy. Ów regułę dla bezpieczeństwa danych i płynności finansowej firmy warto poszerzyć o rozszerzenia PDF, DOC, DOCX, PIF, EXE, CHK, LNK – przynajmniej na komputerach w dziale księgowym. A najlepiej, aby księgowość (o ile to możliwe) wykorzystywała jedną z dystrybucji Linuksa.  

SHA1 złośliwych plików:

  • 9abeef3ed793f28a24562c3e5c3104eee99daa1c – downloader
  • 8a26892a7949c6a29d9d620c2ffd4c58921d6736 – PowerWare
  • ee2c9cf8cf6314c27e9724c529df8b3fb7c2e985 – PowerWare

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone