Эксперты обнаружили русскоязычный вирус-вымогатель, действующий принципиально иными методами.
Специалистам антивирусной компании Sophos попался новый образец вируса-вымогателя, использующего язык сценариев Windows PowerShell, позволяющий системным администраторам наладит автоматизированное выполнение всевозможных операций в своей сети.
В новом вирусе сценарии на вышеупомянутом языке используются для шифрования файлов на компьютере жертвы и удержании их «в заложниках» до тех пор, пока пользователь не внесет на указанный счет требуемую сумму. Интересно, что вирус оснащен русскоязычным интерфейсом, что указывает на его целевую аудиторию.
Сообщение, которое может показать вирус
Новый вирус рассылается по электронной почте в виде HTA-файла, присоединенного к спам-рассылке. Встроенный скрипт проверяет, присутствует ли на пользовательском компьютере компонент Windows PowerShell. Если нет – вирус может сам загрузить его на атакуемую систему. Отметим, что интерпретатор PowerShell по умолчанию присутствует во всех редакциях Windows 7 и более поздних версиях Windows.
После проникновения в систему вирус запускает сценарий, который шифрует пользовательские файлы алгоритмом Rijndael. В первую очередь вирус ищет потенциально важные для пользователя документы, фотографии и видеофайлы. После шифрования на жестком диске пользователя появляется текстовый файл «READ_ME_NOW.txt» в котором предлагается перейти на специальный сайт, где уже требуется уплатить 10 000 рублей.
Аналитики из Sophos утверждают, что на сегодняшний день средств для защиты от вируса не существует, и призывают пользователей не загружать никаких файлов из спам-рассылки, и быть внимательными при проверке писем даже из надежных источников.