Ransomware „PowerWare“ ahmt „Locky“ nach

Palo Alto Networks hat eine neue Variante von PowerWare entdeckt, die auch als PoshCoder bekannt ist und die gefürchtete Ransomware-Familie Locky nachahmt. [...]

PoshCoder verschlüsselt seit 2014 Dateien mit PowerShell. Die neue Variante namens PowerWare wurde im März 2016 entdeckt. Sie geht nach dem üblichen Muster vor: Die Malware verschlüsselt die Dateien auf den Rechner ihrer Opfer und verlangt eine Lösegeldzahlung in der Kryptowährung Bitcoin.

Neben der Verwendung der Dateinamenerweiterung „.locky“ für verschlüsselte Dateien, nutzt diese PowerWare-Variante den gleichen Erpresserbrief wie die Malware-Familie Locky. Dies ist laut den Security-Experten nicht das erste Mal, das PowerWare andere Malware-Familien imitiert: Frühere Versionen nutzten den Erpresserbrief von CryptoWall. Es gibt zudem weitere Beispiele von Ransomware, die auf Programmcode von anderer Ransomware zurückgreift, wie beispielsweise die Ransomware-Familie TeslaCrypt.

Unit 42, das Anti-Malware-Team von Palo Alto Networks, hat ein Python-Skript geschrieben (zu finden auf github), welches .locky-Dateien auf einem infizierten Computer findet und diese wieder in ihren ursprünglichen Zustand zurückversetzt.

Eine erste Analyse von PowerWare zeigte, dass das untersuchte Sample eine ausführbare .net-Datei ist. Nach sorgfältiger Prüfung der Malware mit einem .net-Dekompilierungsprogramm namens dnSpy erschien das Wort „PowerGUI“ von Quest Software. Dies deutete darauf hin, dass die Malware den PowerShell-Skript-Editor nutzt, der Powershell-Skripts in ausführbare Microsoft-Dateien umwandelt.

Bei näherer Betrachtung der ausführbaren .net-Datei entdeckte Unit 42, dass diese ScriptRunner.dll nutzt, um ein PowerShell-Skript namens fixed.ps1 zu entpacken. In Wirklichkeit ist diese in Microsoft Windows ausführbare .net-Datei nur verantwortlich für das Entpacken eines eingebetteten Skripts, das mit PowerShell.exe ausgeführt wird. Das Skript befindet sich in einer ZIP-Datei mit dem Namen Scripts.zip. Das PowerShell-Skript ist sehr ähnlich zu anderen PoshCoder/PowerWare-Varianten. Das untersuchte Sample verwendet AES-128-Verschlüsselung mit einem hartcodierten Schlüssel. Da der Schlüssel statisch ist und die Malware scheinbar nur die ersten 2.048 Bytes der Zieldateien verschlüsselt, ist eine Entschlüsselung der Dateien möglich, ohne das Lösegeld zu bezahlen. Es ist auch kein Netzwerk-Beacon enthalten, der versucht, zufällig generierte Bytes für den Schlüssel zu übertragen, wie es einige Varianten tun. Das PowerShell-Skript scannt automatisch die Maschine des Opfers nach Dateien mit gängigen Erweiterungen, um die Dateien dann zu verschlüsseln.

PowerWare hängt dann – genau wie die berüchtigte Locky-Malware – eine „.locky“-Erweiterung an die verschlüsselten Dateien. Es taucht zudem eine HTML-Datei mit dem Namen „_HELP_instructions.html“ auf, die in der Formulierung mit der Ransomware-Familie Locky identisch ist. Dieser Erpresserbrief ist in Ordnern mit verschlüsselten Dateien enthalten. Für den Fall, das Benutzer das Lösegeld zahlen möchten, können sie auf eine zur Verfügung gestellte Website navigieren. Diese enthält Anweisungen, wie Bitcoins erworben werden können. Auch hier sind Parallelen zur Ransomware-Familie Locky offensichtlich. (pi)


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*