PowerWare - Le Fileless Ransomware - Comment, Forum sur la sécurité PC et la technologie | SensorsTechForum.com
Suppression des menaces

PowerWare - Le Fileless Ransomware

1 Star2 Stars3 Stars4 Stars5 Stars (Pas encore d'évaluation)
Loading ...
Mise à jour! La recherche indique que les versions actuelles de PowerWare ajoutent l'extension de fichier .locky aux fichiers chiffrés de la victime, déposer les mêmes notes de rançon que Locky, et même utiliser les mêmes graphiques et des phrases sur leur site de paiement de rançon. La bonne nouvelle, cependant, est que le ransomware est maintenant déchiffrable. PowerWare utilise un algorithme AES-128, mais il ne génère pas une clé aléatoire et il ne récupère pas les clés d'un serveur. En revanche, le virus de chiffrement utilise une clé qui est noyée dans le code source. Merci à cette faiblesse, chercheurs Palo Alto ont créé un Python script disponible pour les utilisateurs à exécuter à partir de la CLI Windows pour décrypter leurs fichiers.

STF-powershell-Powerware-ransomware

Un nouveau ransomware a été découvert sur un réseau de soins de santé par des chercheurs de sécurité noir de carbone. Le ransomware est surnommé PowerWare, et il utilise Windows PowerShell pour déployer sa charge utile. Elle se propage par l'intermédiaire d'e-mails contenant un document Microsoft Word avec un message de la facture à l'intérieur. Activation de l'édition sur le document libère la charge utile en tant que script de commandes PowerShell, évitant ainsi la création de nouveaux fichiers et, par conséquent,, détection.

Menace Résumé

Nom

PowerWare

TypeRansomware
brève descriptionLe ransomware utilise Windows PowerShell pour déployer sa charge utile.
SymptômesLes fichiers de l'utilisateur sont cryptées et inutilisable.
Méthode de distributionE-mails et pièces jointes.
Detection Tool Voir Si votre système a été affecté par PowerWare

Télécharger

Malware Removal Tool

Expérience utilisateurJoignez-vous à notre forum pour discuter PowerWare.
Outil de récupération de donnéesWindows Data Recovery Stellar Phoenix Avis! Ce produit numérise vos secteurs d'entraînement pour récupérer des fichiers perdus et il ne peut pas récupérer 100% des fichiers cryptés, mais seulement quelques-uns d'entre eux, en fonction de la situation et si oui ou non vous avez reformaté votre lecteur.

Comment fonctionne PowerWare Ransomware Propagation?

PowerWare ransomware se propage par e-mails. Ces e-mails sont très bien écrites et contiennent une Microsoft Word document en tant que pièce jointe. Peut-être que les e-mails qui sont écrits avec la grammaire sont la principale raison pour plus de gens tombent pour la déception, par rapport aux autres. La Microsoft Word document comprend le message de la facture suivante:

facture-Powerware-ransomware

Image Source: carbonblack.com

La facture veut que vous activez la fonction d'édition dans Microsoft Word afin que la charge utile peut être libéré. Comme cette fonctionnalité est-il intégré comme Microsoft Word et PowerShell eux-mêmes, le malware évite la détection.

Informations Techniques PowerWare Ransomware

La chose la plus unique au sujet de PowerWare est qu'il est un ransomware de fileless. Nous avons vu des logiciels malveillants fileless avant sous la forme de la Poweliks Troie et une version de la Angler Exploit Kit par exemple.

Fileless, comme à rester caché dans la mémoire et la création d'absolument aucun fichier supplémentaire pour sa charge utile à exécuter. Plutôt, Microsoft Windows PowerShell programme est utilisé pour chiffrer les fichiers. Cela se produit avec l'aide de macro-commandes intégrées dans un script, chargé dans PowerShell. Les nombres aléatoires sont utilisés comme une clé individuelle de cryptage. La clé, avec une URL générée pour savoir où payer la rançon sont tous deux renvoyés aux cybercriminels. Cette information est écrit dans le texte brut, afin que les gens avec un dispositif de capture de paquets complète devraient être en mesure d'y accéder et de récupérer leurs fichiers.

Dans le cas malheureux de chiffrement, tous les emplacements de fichiers seront analysés en profondeur par le PowerWare ransomware. Les fichiers qui peuvent être cryptés sont avec les extensions suivantes:

extensions-Powerware-ransomware

Image Source: carbonblack.com

Après avoir terminé le chiffrement, vous verrez des instructions décrivant comment la rançon à payer. La demande de rançon, première fois sur CryptoWall 3.0 est utilisé et ressemble à ceci:

rançon note-Powerware-ransomware

Payer les décideurs ransomware est NE PAS informé. Personne ne peut garantir que vous obtiendrez vos fichiers décryptés. L'argent sera consacré à la création de plus de logiciels malveillants ou pour d'autres actes répréhensibles.

Empêcher PowerWare Ransomware de Vous infectant

Si vous êtes infecté par PowerWare ransomware, les commandes sont exécutées et il n'y a rien à enlever. Dans le cas où vous n'êtes pas infecté, vous devez disposer d'un outil anti-malware installé comme une méthode de prévention. spécialistes de logiciels malveillants devraient avoir mis les nouvelles définitions pour les documents Word connus contenant le script malveillant.

Télécharger

Malware Removal Tool


Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter

avatar

Berta Bilbao

Berta est un chercheur dédié logiciels malveillants, rêver pour un cyber espace plus sûr. Sa fascination pour la sécurité informatique a commencé il y a quelques années, quand un malware lui en lock-out de son propre ordinateur.

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...