新的赎金软件滥用Windows PowerShell，Word Document宏

研究人员警告说，在Windows PowerShell中编写的新赎金软件程序正在用于对企业的攻击，包括医疗组织，包括医疗保健组织。

PowerShell是一个任务自动化和配置管理框架，其包含在Windows中，并且通常由Systems Administrators常用。它拥有自己的强大脚本语言，已被用于创建过去的复杂恶意软件。

来自安全公司炭黑的研究人员发现了新的赎金软件程序被称为PowerWare，并且正在通过包含具有恶意宏的Word文档的网络钓鱼电子邮件分发给受害者，这是一种越来越常见的攻击技术。

当它针对其中一个客户时，碳黑团队找到了PowerWare：一个未命名的医疗保健组织。多家医院最近将受害者归咎于赎金软件攻击。

炭黑研究人员说，伪装成作为发票的恶意词文件。打开后，它指示用户启用Word编辑和内容，声称这些操作是要查看文件所必需的。

实际上，启用编辑禁用Microsoft Word“S的”预览“沙箱和启用内容允许执行嵌入式宏代码，默认情况下的Office块。

如果允许恶意宏代码运行，它将打开Windows命令行（CMD.EXE）并启动两个PowerShell（PowerShell.exe）的实例。一个实例以PowerShell脚本的形式下载来自远程服务器的PowerWare ransomware，另一个实例执行脚本。

在此之后，感染例程类似于其他勒索软件程序的程序：脚本生成加密密钥;使用它来加密具有特定扩展的文件，包括文档，图片，视频，档案和源代码;将密钥发送到攻击者“服务器，并以HTML文件的形式生成赎金笔记。

根据付款指示，攻击者使用TOR匿名网络隐藏其命令和控制服务器。最初的赎金是500美元，但几周后它达到了1000美元。

PowerWare不是PowerShell中的第一个勒索软件实现。Sophos的安全研究人员在2013年发现了类似的俄语赎金软件计划。然后在2015年，他们发现了另一个人从破坏糟糕的电视节目中使用“Los Pollos Hermanos”标志。

虽然基于PowerShell的恶意软件不是新的，但最近几个月的使用增加了，而且由于PowerShell的合法使用和流行，特别是在企业环境中，它可以比传统恶意软件更难地检测到传统恶意软件。