Sophos alerta de la aparición de un ransomware que secuestra archivos utilizando PowerShell. Una vez que los archivos han sido cifrados, éstos son retenidos por los atacantes, los cuales exigen un pago para liberarlos.

Investigadores de Sophos han descubierto un ransomware que utiliza Windows PowerShell para secuestrar archivos del ordenador de la víctima. Una vez que los archivos han sido cifrados, éstos son retenidos por los atacantes, los cuales exigen un pago a las víctimas si quieren volver a disponer de su documentación.

PowerShell es una interfaz de consola (CLI) con posibilidad de escritura y conjunción de comandos por medio de guiones (scripts) que se encuentra en Windows 7 y en otras versiones. Tradicionalmente se utiliza por los administradores para automatizar tareas de Windows.

Según Sophos, estos ataques se han dirigido a usuarios rusos. En cuanto a cómo se produce, la firma de seguridad destaca que los usuarios reciben un mensaje de correo electrónico no deseado con dos scripts maliciosos. El primero de ellos comprueba si el equipo tiene instalado PowerShell. Si no está instalado éste se descarga una copia de una cuenta Dropbox y lo instala. El segundo de los script comienza con la cifrado de los archivos (se secuestra cualquier archivo que contenga información potencialmente valiosa, ya sean documentos, imágenes, vídeos, etc…).   

Una vez que los archivos están cifrados aparece un mensaje en la pantalla en la que se informa a la víctima que sus archivos han sido cifrados y que necesitan introducir un código para desbloquearlos. Para obtener ese código tienen que pagar 10.000 rublos (unos 360 euros).

Los investigadores de Sophos aseguran que los archivos pueden ser decodificados sin necesidad de pagar el rescate utilizando la misma aplicación que cifró los archivos, PowerShell.

Autor: Bárbara Madariaga
Fecha: 06/03/2013

FUENTE :http://www.csospain.es/Alertan-de-un-ransomware-que-utiliza-PowerShell-pa/sección-actualidad/noticia-131092