Un nuevo ransomware fue descubierto en una red sanitaria por los investigadores de seguridad Negro de Humo. El ransomware es apodado PowerWare, y usa Windows PowerShell para desplegar su carga útil. Se propaga a través de correos electrónicos que contienen un documento de Microsoft Word con un mensaje de la factura dentro de él. Habilitación de edición en el documento libera la carga útil como un script de comandos de PowerShell, evitando así la creación de nuevos archivos y, por consiguiente, detección.
Resumen de amenazas
Nombre |
PowerWare |
Escribe | El ransomware |
Descripción breve | El ransomware utiliza Windows PowerShell para desplegar su carga útil. |
Los síntomas | los archivos del usuario se cifran y inutilizable. |
Método de distribución | Los correos electrónicos y archivos adjuntos. |
Herramienta de detección |
Ver si su sistema ha sido afectado por malware
Descargar
Herramienta de eliminación de software malintencionado
|
Experiencia de usuario | Únete a nuestro foro para discutir PowerWare. |
Herramienta de recuperación de datos | Ventanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad. |
¿Cómo funciona PowerWare ransomware Spread?
PowerWare ransomware se propaga a través de e-mails. Estos correos electrónicos son muy bien escrito y contienen una Microsoft Word documento como un archivo adjunto. Tal vez los correos electrónicos que están escritas con la gramática apropiada son la razón principal por más personas caen en el engaño, en comparación con los demás. El Microsoft Word documento incluye el siguiente mensaje de factura:
Fuente de la imagen: carbonblack.com
La factura quiere que habilita la función de edición en Microsoft Word de manera que la carga útil puede ser liberado. A medida que la función está incorporada como Microsoft Word y PowerShell mismos, el malware evita la detección.
Información Técnica de PowerWare ransomware
Lo más singular de PowerWare es que es un ransomware sin archivo. Hemos visto el malware sin archivo antes en la forma de la Poweliks Troya y una versión de la Angler Exploit Kit por ejemplo.
sin archivo, como en permanecer oculto en la memoria y crear absolutamente ningún archivos adicionales para su carga útil para ser ejecutado. En lugar, el Microsoft Windows Potencia Shell programa se utiliza para cifrar archivos. Esto sucede con la ayuda de comandos de macro incluido en un script, cargado en Potencia Shell. Los números aleatorios se usan como una clave de cifrado individuo. La clave, junto con una URL generada por dónde pagar el rescate son a la vez enviado de vuelta a los delincuentes. Esa información se escribe en texto sin formato, por lo que las personas con un dispositivo completo de captura de paquetes deben ser capaces de acceder a ella y recuperar sus archivos.
En el desafortunado caso de cifrado, todas las ubicaciones de los archivos serán analizados a fondo por el PowerWare ransomware. Los archivos que se pueden cifrar están con las siguientes extensiones:
Fuente de la imagen: carbonblack.com
Después de completar el cifrado, podrás ver las instrucciones que describe cómo el rescate a pagar. La nota de rescate, Creado el CryptoWall 3.0 se utiliza y se ve como este:
Pagar los fabricantes de ransomware se NO aconsejado. Nadie puede garantizar que va a surtir sus archivos descifrados. El dinero se destinará a la creación de más malware o para otras acciones nefastas.
Prevenir PowerWare ransomware infecten Usted
Si está infectado por PowerWare ransomware, los comandos se ejecutan y no hay nada para ser eliminado. En caso de que usted no está infectado, usted debe tener una herramienta anti-malware instalado como un método de prevención. especialistas de malware debería haber establecido las nuevas definiciones de los documentos de Word conocidos que contienen el script malicioso.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter