Alertan de un ransomware que utiliza PowerShell para “secuestrar” archivos

Se alerta de la aparición de un ransomware que secuestra archivos utilizando PowerShell. Una vez que los archivos han sido encriptados, éstos son retenidos por los atacantes, los cuales exigen un pago de unos 360 euros para liberarlos.

Investigadores de Sophos han descubierto un ransomware que utiliza Windows PowerShell para secuestrar archivos del ordenador de la víctima. Una vez que los archivos han sido encriptados, éstos son retenidos por los atacantes, los cuales exigen un pago a las víctimas si quieren volver a disponer de su documentación.

PowerShell es una interfaz de consola (CLI) con posibilidad de escritura y conjunción de comandos por medio de guiones (scripts) que se encuentra en Windows 7 y en otras versiones. Tradicionalmente se utiliza por los administradores para automatizar tareas de Windows.

Según indican, estos ataques se han dirigido a usuarios rusos. En cuanto a cómo se produce, la firma de seguridad destaca que los usuarios reciben un mensaje de correo electrónico no deseado con dos scripts maliciosos. El primero de ellos comprueba si el equipo tiene instalado PowerShell. Si no está instalado éste se descarga una copia de una cuenta Dropbox y lo instala. El segundo de los script comienza con la encriptación de los archivos (se secuestra cualquier archivo que contenga información potencialmente valiosa, ya sean documentos, imágenes, vídeos, etc…).

Una vez que los archivos están encriptados aparece un mensaje en la pantalla en la que se informa a la víctima que sus archivos han sido encriptados y que necesitan introducir un código para desbloquearlos. Para obtener ese código tienen que pagar 10.000 rublos (unos 360 euros).

Los investigadores aseguran que los archivos pueden ser decodificados sin necesidad de pagar el rescate utilizando la misma aplicación que cifró los archivos, PowerShell.

 Fuente