PowerWare：勒索软件如何温柔地借刀杀人

2016 年 3 月底，一个名为 PowerWare 的新型加密勒索软件通过钓鱼邮件袭击了一家医疗组织，被国外安全公司 Carbon Black 捕获。PowerWare 最大的特点是核心的加密勒索功能由 Powershell 脚本实现，通过简单的社会工程学伎俩诱骗用户允许它的恶意动作，导致其调用 Windows 系统本地自带的 Powershell 框架执行加密勒索行为。

Windows PowerShell 是一种命令行外壳程序和脚本环境，它内置于 Windows 系统本地环境，需要 .NET 环境支持。类似 Linux 下的 Shell，命令行用户和脚本编写者可以通过 Powershell 利用 .NET Framework 的强大功能，实现高效的文本处理、系统管理甚至编写脚本实现相当复杂的功能性程序。它引入了许多非常有用的新概念，从而很大程度上扩展了在 Windows Cmd和 Windows Script Host 环境中获得的功能。

PowerWare 的核心技术原理，可以类比为“借受害用户之刀（Powershell），伤用户自己”。

一旦经过用户允许，宏脚本会请求 C&C 服务器，将一份后缀为 *.ps1 （ Powershell 脚本文件）的恶意脚本下载到当前用户的临时文件目录下面，然后执行 *.ps1 脚本，以下是我们从 Word 文档里提取出的 VBS 脚本：

综上所述， PowerWare 的传播和执行流程如下图所示：

千里目实验室拿到勒索软件的样本之后，对其进行了详细分析。分析结果显示相比勒索软件的“前辈”们（CryptoLocker/Locky/TeslaCrypt/CTB-Locker/Petya……）， PowerWare 尽管传播方式比较传统、恶意行为相对简单，仍然有一些新颖之处。以下是 PowerWare 的主要特性：

PowerWare 脚本最初就随机生成 3 串字符，前 2 串字符用来生成加密密钥，第 3 串字符用来标识受害者身份（ uuid ）。随后将生成的 3 串字符通过 HTTP POST 请求上传到 C&C 服务器：

然后 PowerWare 就直接根据上面的字串生成加密句柄，由下图相关代码可以看出其加密方式是 CBC 模式的 AES-256 加密：

接下来全盘遍历文件，针对具体类型进行加密：

此时桌面上已经生成了一个 FILES_ENCRYPTED-READE_ME.HTML 文件，浏览器打开之后会显示解密数据相关的提示步骤，并且赎金会随着解密时间的拖延从 500$ 上升到 1000$：