EN
EN

Uważaj na ransomware i bezpiecznie rozlicz się z fiskusem

4 kwietnia, 2016

Analitycy malware z firmy Trend Micro, która zajmuje się bezpieczeństwem i dostarczaniem narzędzi oraz produktów do ochrony stacji roboczych i sieci odkryli nowy wariant krypto-ransomware, który w swoim działaniu bardzo przypomina CryptoWall. PowerWare (tak został nazwany) jest identyfikowany przez antywirusy Trend Micro jako RANSOM_POWERWARE.A. Nazwa szkodnika wzięła się od interpretera PowerShell, którego downloader wykorzystuje do pobrania ransomware.

Szkodnik rozprzestrzenia się tradycyjnie – poprzez spam. Przestępcy załączają dokument z rozszerzeniem DOC z informacją o fakturze. Po otworzeniu dokumentu do wykonania złośliwego kodu makro wymagane jest aktywowanie obsługi makr, które zarówno w MS Office jak i LiberOffice są domyślnie wyłączone. Nie ma więc mowy o automatycznym wykonaniu się złośliwego kodu. Infekcja komputera następuje z winy użytkownika, który daje się wciągnąć w pułapkę.

powerware downloader content
Złośliwy załącznik z rozszerzeniem DOC

Makro wirus wykorzustuje wiersz poleceń, by z jego pomocą otworzyć interpreter PowerShell.exe i pobrać z sieci skrypt docelowego wirusa napisanego również w PowerShell. Ransomware rozpocznie procedurę szyfrowania plików.

powerware downloader code
Fragment kodu, który wywołuje PowerShell

PowerWare posiada również zdolność do mapowania dysków sieciowych, co czyni go szczególnie niebezpiecznym dla firm.

Trend Micro zwraca uwagę, że zbliżający się ostateczny termin rozliczenia za rok podatkowy 2015 będzie dla przestępców doskonałą okazją do wyłudzania pieniędzy. My dołączamy się do ostrzeżeń i przestrzegamy przed spamem, którego nieprzeszkolony pracownik może nie rozpoznać.

Szczególnie w tym okresie warto przeszkolić dział księgowy, by jego pracownicy nigdy nie otwierali podejrzanych dokumentów. A jeżeli stacja robocza jest chroniona przez oprogramowanie antywirusowe, które wykorzystuje sandbox, należy utworzyć regułę, dzięki której wszystkie otwierane pliki z klienta poczty będą uruchamiane w piaskownicy. Ów regułę dla bezpieczeństwa danych i płynności finansowej firmy warto poszerzyć o rozszerzenia PDF, DOC, DOCX, PIF, EXE, CHK, LNK – przynajmniej na komputerach w dziale księgowym. A najlepiej, aby księgowość (o ile to możliwe) wykorzystywała jedną z dystrybucji Linuksa.  

SHA1 złośliwych plików:

  • 9abeef3ed793f28a24562c3e5c3104eee99daa1c – downloader
  • 8a26892a7949c6a29d9d620c2ffd4c58921d6736 – PowerWare
  • ee2c9cf8cf6314c27e9724c529df8b3fb7c2e985 – PowerWare
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments
polecane rozwiązania

Polecane rozwiązania

Nie musisz już szukać dobrych ofert! Znaleźliśmy je dla Ciebie!
oferty
specjalne
newsletter poradnik

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

tak! Chcę poradnik
ARTYKUŁY

Treść serwisu prawnie chroniona © 2024 | Fundacja AVLab dla Cyberbezpieczeństwa | Polityka prywatności

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]

najnowsze artykuły

Ze świata cyber

testy bezpieczeństwa

produkty ochronne

informacje o atakach

wydarzenia online

statystyki i raporty

od redakcji

polecane rozwiązania

wszyscy producenci