Το Ransomware είναι ένα από τα πιο ισχυρά και προφανή εργαλεία που χρησιμοποιείται από εγκληματίες του κυβερνοχώρου για να βγάλουν χρήματα. Δεν μπορεί να ξεχάσει κανείς ότι το περασμένο έτος το Cryptolocker ransomware στόχευσε εκατομμύρια υπολογιστές σε όλο τον κόσμο.
Πρόσφατα, ερευνητές ασφάλειας στην εταιρία Antivirus TrendLabs έχουν αποκαλύψει μια άλλη εξελιγμένη παραλλαγή ransomware κακόβουλου λογισμικού που χρησιμοποιεί το Windows PowerShell σε μια προσπάθεια να κρυπτογραφήσει τα αρχεία στον υπολογιστή των θυμάτων. Η εταιρεία εντόπισε την παραλλαγή ως TROJ_POSHCODER.A.
Το Windows PowerShell είναι ένα αυτοματοποιημένο εργαλείο εργασιών από τη Microsoft, το οποίο αποτελείται από ένα μέρος γραμμής εντολών και γλώσσα scripting. Παρέχει πλήρη πρόσβαση σε COM και WMI, επιτρέποντας στους διαχειριστές να εκτελούν εργασίες και σε τοπικά, αλλά και απομακρυσμένα συστήματα Windows, καθώς και σε WS-Management και CIM που επιτρέπει τη διαχείριση των απομακρυσμένων συστημάτων Linux και συσκευές δικτύου.
Πιστεύεται ότι οι κυβερνοεγκληματίες έχουν χρησιμοποιήσει αυτό το χαρακτηριστικό των Windows μόνο και μόνο για να κάνουν την ανίχνευση και ανάλυση του κακόβουλου λογισμικού πιο δύσκολη για ένα σύστημα που επηρεάζεται. Ωστόσο, δεν κατάφεραν σε αυτό το σημείο να χρησιμοποιήσουν το Windows PowerShell για το σκοπό αυτό, κάνοντας πιο εύκολο για τους ερευνητές να ανιχνεύσουν το κακόβουλο λογισμικό.
