Новая вымогательская программа PowerWare, атакующая медицинские организации, обнаружена исследователями из Carbon Black. Главная особенность вредоносной программы – это применение инструмента PowerShell для шифрования файлов.
Распространение PowerWare осуществляется путем рассылки фишинговых писем с вложенным файлом, который имитирует счет-фактуру. В действительности в документе содержится вредоносный макрос. Когда пользователь открывает письмо, на экране появляется уведомление о том, что для корректного просмотра файла необходим запуск макроса. После того, как жертва дала свое разрешение на запрашиваемую процедуру, макрос запускает в командной строке Windows два процесса PowerShell. Один – для загрузки программы PowerWare с удаленного сервера, второй – для выполнения скрипта.
Процедура далее проходит по стандартному сценарию для подобных типов программного обеспечения. Скрипт создает ключ, который используется для шифрования определенных видов файлов, в том числе архивов, видеофайлов, документов и изображений. После ключ пересылается на сервер, находящийся под контролем злоумышленников.
За восстановление информации киберпреступники требуют от жертв заплатить выкуп в размере 500 долларов. Если пострадавший в течение 2 недель отказывается выполнять требования хакеров, то выкуп возрастает до 1000 долларов.