Der neue Erpressungstrojaner PowerWare lässt die dreckige Arbeit von der Windows PowerShell erledigen und benötigt dazu keine manipulierte Dateien, ...
... dann folgt die klassische Erpressung.
Der Angriff über die Makros folgt einem ähnlichen Schema, wie es der Erpressungstrojaner Locky vormacht. Neu bei PowerWare ist aber, dass die PowerShell dazu ausgenutzt wird die ganze "dreckige Arbeit zu machen", so Kaspersky. Locky hingegen ist einfacher zu entdecken, da die Malware sich nach dem Eindringen durch das Schlupfloch der Makro-Aktivierung weitere ausführbare Software nachlädt, um dann sein Unheil zu verbreiten.
Klassischer Verschlüsselungstrojaner
PowerWare geht anschließend wie jeder klassische Verschlüsselungstrojaner vor. Die Daten auf dem angegriffenen System werden verschlüsselt, und es wird eine Zahlungsaufforderung für die Wiederfreigabe der Dokumente angezeigt.Siehe auch: Erpressungstrojaner: Ransomware "Petya" riegelt Rechner ganz ab
Die Sicherheitsforscher von Carbon Black empfehlen, Eingabeaufforderungen aus Word zu blockieren. Nur so könnte man jetzt sicherstellen, dass über eine fremde Datei kein Angriff via PowerShell ausgeführt werden könne.
Wie gefährlich der neu entdeckte Trojaner in freier Wildbahn sein könnte, sind sich die Sicherheitsforscher noch uneins. Grund dafür ist die Art der Systemkaperung über die PowerShell, wodurch der Trojaner für Virenscanner und Co nahezu unsichtbar arbeitet. Carbon Black selbst empfiehlt die eigene Sicherheitslösung, die bereits auf die neue Masche eingestellt ist.