Cybercriminelen gebruiken regelmatig Windows PowerShell om onopgemerkt te blijven, maar in het geval van een nieuwe ransomware-variant zorgt dit er juist voor dat de malware eenvoudiger te detecteren is. Windows PowerShell is een scripttaal waarmee systeembeheerders allerlei taken kunnen automatiseren.

Het is standaard in Windows 7 aanwezig en kan ook op andere Windows-versies worden geïnstalleerd. Het gebruik van Windows PowerShell door ransomware komt weinig voor, hoewel er vorig jaar ook al soortgelijke ransomware werd ontdekt. De nu ontdekte ransomware heet Poshcoder en versleutelt na de infectie een groot aantal soorten bestanden op de computer met RSA-encryptie.

Om weer toegang te krijgen moeten slachtoffers de Tor Browser downloaden en een website met instructies bezoeken. Daarin staat vervolgens hoe gebruikers door het betalen van een bedrag in Bitcoins de versleutelde bestanden kunnen ontsleutelen.

Hoewel PowerShell normaliter door cybercriminelen wordt gebruikt om hun activiteiten te verbergen, zorgt de scripttaal er in dit geval voor dat de ransomware eenvoudiger te detecteren is, aangezien de malware 'hardcoded' is, zegt Mark Joseph Manahan van Trend Micro. "Het ontsleutelen en analyseren van deze malware was niet al te lastig, zeker in vergelijking met andere ransomware-varianten." Poshcoder wordt door andere malware op de computer geïnstalleerd en verspreidt zich kwaadaardige websites.