Fast täglich kommen Berichte von neu aufgetauchten Erpressungstrojanern – es scheint aktuell das erfolgreichste Geschäftsmodell mit geringstem Risiko für die Computerkriminellen zu sein.

Passend zu Ostern meldet die Sicherheitsfirma Carbon Black den Erpressungstrojaner „PowerWare“. Dieser Schädling kommt nicht etwa wie üblich als .exe-Datei, sondern missbraucht die Windows PowerShell, um die Daten eines Opfers zu verschlüsseln und dann Lösegeld zu fordern.

Vor PowerWare warnen jetzt die Sicherheitsforscher von Carbon Black, nachdem schon eine nicht näher beschriebene Gesundheitsorganisation der Ransomware zum Opfer fiel.

Die Erpresser setzen auf eine bekannte Verbreitungsart: Ausgangspunkt ist eine gefälschte Email, die im Anhang eine vermeintliche Rechnung in Form eines entsprechend manipulierten Word-Dokuments transportiert.

Wenn ein Opfer dieses Dokument öffnet und auf Geheiß der Gauner die Makro-Funktion aktiviert, wird die Eingabeaufforderung von Windows mit geladener PowerShell gestartet. Danach führt diese ein heruntergeladenes Ransomware-Skript aus, erläutern die Kryptologen. Auch die Verschlüsselung des Rechners durch PowerWare werde dann über ein Skript aus der PowerShell angestoßen.

Durch diese Vorgehensweise dürfte sich PowerWare effektiv vor Virenschutzprogrammen verstecken können.