Casa > El ransomware > PowerWare: el ransomware sin archivos
eliminan la amenaza

PowerWare - El ransomware sin archivo

Actualización! Las investigaciones indican que las versiones actuales de PowerWare anexar la extensión del archivo .locky a los archivos cifrados de la víctima, soltar las mismas notas de rescate como Locky, e incluso utilizar los mismos gráficos y frases en su sitio de pago de un rescate. Las buenas noticias, sin embargo, es que el ransomware es ahora descodificarse. PowerWare utiliza un algoritmo AES-128, pero no genera una clave aleatoria y no recupera las claves de un servidor. En cambio, el virus de cifrado utiliza una clave que está incrustado en su código fuente. Gracias a esta debilidad, Palo Alto investigadores han creado una script en Python disponible para los usuarios ejecutar desde la CLI de Windows para descifrar sus archivos.

STF-PowerShell-powerware-ransomware

Un nuevo ransomware fue descubierto en una red sanitaria por los investigadores de seguridad Negro de Humo. El ransomware es apodado PowerWare, y usa Windows PowerShell para desplegar su carga útil. Se propaga a través de correos electrónicos que contienen un documento de Microsoft Word con un mensaje de la factura dentro de él. Habilitación de edición en el documento libera la carga útil como un script de comandos de PowerShell, evitando así la creación de nuevos archivos y, por consiguiente, detección.

Resumen de amenazas

Nombre

PowerWare

Escribe El ransomware
Descripción breve El ransomware utiliza Windows PowerShell para desplegar su carga útil.
Los síntomas los archivos del usuario se cifran y inutilizable.
Método de distribución Los correos electrónicos y archivos adjuntos.
Herramienta de detección Ver si su sistema ha sido afectado por malware

Descargar

Herramienta de eliminación de software malintencionado

Experiencia de usuario Únete a nuestro foro para discutir PowerWare.
Herramienta de recuperación de datos Ventanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad.

¿Cómo funciona PowerWare ransomware Spread?

PowerWare ransomware se propaga a través de e-mails. Estos correos electrónicos son muy bien escrito y contienen una Microsoft Word documento como un archivo adjunto. Tal vez los correos electrónicos que están escritas con la gramática apropiada son la razón principal por más personas caen en el engaño, en comparación con los demás. El Microsoft Word documento incluye el siguiente mensaje de factura:

factura-powerware-ransomware

Fuente de la imagen: carbonblack.com

La factura quiere que habilita la función de edición en Microsoft Word de manera que la carga útil puede ser liberado. A medida que la función está incorporada como Microsoft Word y PowerShell mismos, el malware evita la detección.

Información Técnica de PowerWare ransomware

Lo más singular de PowerWare es que es un ransomware sin archivo. Hemos visto el malware sin archivo antes en la forma de la Poweliks Troya y una versión de la Angler Exploit Kit por ejemplo.

sin archivo, como en permanecer oculto en la memoria y crear absolutamente ningún archivos adicionales para su carga útil para ser ejecutado. En lugar, el Microsoft Windows Potencia Shell programa se utiliza para cifrar archivos. Esto sucede con la ayuda de comandos de macro incluido en un script, cargado en Potencia Shell. Los números aleatorios se usan como una clave de cifrado individuo. La clave, junto con una URL generada por dónde pagar el rescate son a la vez enviado de vuelta a los delincuentes. Esa información se escribe en texto sin formato, por lo que las personas con un dispositivo completo de captura de paquetes deben ser capaces de acceder a ella y recuperar sus archivos.

En el desafortunado caso de cifrado, todas las ubicaciones de los archivos serán analizados a fondo por el PowerWare ransomware. Los archivos que se pueden cifrar están con las siguientes extensiones:

extensiones-powerware-ransomware

Fuente de la imagen: carbonblack.com

Después de completar el cifrado, podrás ver las instrucciones que describe cómo el rescate a pagar. La nota de rescate, Creado el CryptoWall 3.0 se utiliza y se ve como este:

rescate-nota-powerware-ransomware

Pagar los fabricantes de ransomware se NO aconsejado. Nadie puede garantizar que va a surtir sus archivos descifrados. El dinero se destinará a la creación de más malware o para otras acciones nefastas.

Prevenir PowerWare ransomware infecten Usted

Si está infectado por PowerWare ransomware, los comandos se ejecutan y no hay nada para ser eliminado. En caso de que usted no está infectado, usted debe tener una herramienta anti-malware instalado como un método de prevención. especialistas de malware debería haber establecido las nuevas definiciones de los documentos de Word conocidos que contienen el script malicioso.


Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter

Berta Bilbao

Berta es un investigador de malware dedicado, soñando por un espacio cibernético más seguro. Su fascinación con la seguridad que comenzó hace unos años, cuando un malware ella bloqueada fuera de su propio ordenador.

Más Mensajes

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo