最近又出现了很多新兴勒索软件,比如PowerWare就是其中一种。该勒索软件是美国安全公司Carbon Black在一家医疗保健机构发现的。
PowerWare使用Word文件、宏脚本和PowerShell脚本语言通过有效负载来感染受害者。
PowerWare隐藏在Word文件中
虽然PowerWare手法独特,但依然依赖于传统的感染技巧,即通过垃圾邮件进入受害者收件箱中。邮件附件中包含一个Word文档,如被打开,那它就会诱骗用户禁用Office的受保护预览模式虽然启用宏支持。点击两次后,感染链就会产生,恶意宏脚本联网并回溯一个名为cmd.exe的文件,然后就会执行。文件之后会调用PowerShell功能执行一系列命令。这些命令首先会生成一个RSA-2048密钥,将密钥发送给PowerWare的命令和控制服务器并开启加密流程。
PowerWare泄露加密密钥
完成加密后,用户屏幕上就会显示勒索信息,要求支付等同于500比特币的货币,如果不交,那么两周后就会翻一倍。
好在如果用户或企业是运行流量登录系统的话,那么他们就会找到原始密钥,因为PowerWare的作者并没有采取任何保护措施,通过HTTP以明文形式将密钥发送至命令和控制服务器。否则,免费解密本地文件就不可能完成,而且用户就只剩两种选择了:要不交勒索金要么依靠线下来源恢复文件。
最近发现的勒索软件包括Petya、Maktub Locker、Xorist、Surprise和Sams。另外,微软上周宣布在Office 2016版本中添加了一个新功能,网络管理员可拦截来自互联网的文件中的宏。