Локер PowerWare занимается плагиатом

Появился вариант блокера-шифровальщика PowerWare, который заимствует внешние признаки своего успешного собрата в надежде, что испуганные пользователи охотнее будут платить. По свидетельству Palo Alto Networks, новый образец вымогателя заметно слабее Locky, которого он имитирует, и быстро меняет свои тактики.

Так, ко всем зашифрованным файлам новичок добавляет расширение .locky, использует сообщение этого блокера с требованием выкупа и его же текст с инструкциями для жертв заражения. Однако, в отличие от своего более грозного соперника, обновленный PowerWare хранит ключи для расшифровки в собственном коде, так что их можно извлечь и создать бесплатный декриптор.

«В случае заражения Locky единственный способ вернуть файлы – это уплата выкупа, – поясняет Райан Олсон (Ryan Olson), руководитель исследовательского подразделения Palo Alto (Unit 42). – Однако PowerWare менее технически зрел, чем Locky». Для шифрования новобранец использует AES-128 и шифрует лишь первые 2048 байт целевых файлов. Эксперты создали Python-скрипт, способный извлекать статический ключ из кода PowerWare и выполнять расшифровку.

«PowerWare имитирует другие семейства зловредов далеко не первый раз, – отметили исследователи в своем новом отчете. – Его более ранние версии использовали требование выкупа CryptoWall. Заимствование чужого кода, к примеру, у TeslaCrypt, – нередкое явление среди вымогателей».

PowerWare является производным от PoshCoder, известного с 2014 года шифровальщика, и распространяется, в основном, так же, как PoshCoder,– через документы Microsoft Word с встроенным макросом. Вредоносную активность PowerWare прикрывает, используя Windows-утилиту PowerShell.