Palo Alto Networks hat eine neue Variante von PowerWare entdeckt, die auch als PoshCoder bekannt ist und die gefürchtete Ransomware-Familie Locky nachahmt. [...]
PoshCoder verschlüsselt seit 2014 Dateien mit PowerShell. Die neue Variante namens PowerWare wurde im März 2016 entdeckt. Sie geht nach dem üblichen Muster vor: Die Malware verschlüsselt die Dateien auf den Rechner ihrer Opfer und verlangt eine Lösegeldzahlung in der Kryptowährung Bitcoin.
Neben der Verwendung der Dateinamenerweiterung „.locky“ für verschlüsselte Dateien, nutzt diese PowerWare-Variante den gleichen Erpresserbrief wie die Malware-Familie Locky. Dies ist laut den Security-Experten nicht das erste Mal, das PowerWare andere Malware-Familien imitiert: Frühere Versionen nutzten den Erpresserbrief von CryptoWall. Es gibt zudem weitere Beispiele von Ransomware, die auf Programmcode von anderer Ransomware zurückgreift, wie beispielsweise die Ransomware-Familie TeslaCrypt.
Unit 42, das Anti-Malware-Team von Palo Alto Networks, hat ein Python-Skript geschrieben (zu finden auf github), welches .locky-Dateien auf einem infizierten Computer findet und diese wieder in ihren ursprünglichen Zustand zurückversetzt.
Eine erste Analyse von PowerWare zeigte, dass das untersuchte Sample eine ausführbare .net-Datei ist. Nach sorgfältiger Prüfung der Malware mit einem .net-Dekompilierungsprogramm namens dnSpy erschien das Wort „PowerGUI“ von Quest Software. Dies deutete darauf hin, dass die Malware den PowerShell-Skript-Editor nutzt, der Powershell-Skripts in ausführbare Microsoft-Dateien umwandelt.
Bei näherer Betrachtung der ausführbaren .net-Datei entdeckte Unit 42, dass diese ScriptRunner.dll nutzt, um ein PowerShell-Skript namens fixed.ps1 zu entpacken. In Wirklichkeit ist diese in Microsoft Windows ausführbare .net-Datei nur verantwortlich für das Entpacken eines eingebetteten Skripts, das mit PowerShell.exe ausgeführt wird. Das Skript befindet sich in einer ZIP-Datei mit dem Namen Scripts.zip. Das PowerShell-Skript ist sehr ähnlich zu anderen PoshCoder/PowerWare-Varianten. Das untersuchte Sample verwendet AES-128-Verschlüsselung mit einem hartcodierten Schlüssel. Da der Schlüssel statisch ist und die Malware scheinbar nur die ersten 2.048 Bytes der Zieldateien verschlüsselt, ist eine Entschlüsselung der Dateien möglich, ohne das Lösegeld zu bezahlen. Es ist auch kein Netzwerk-Beacon enthalten, der versucht, zufällig generierte Bytes für den Schlüssel zu übertragen, wie es einige Varianten tun. Das PowerShell-Skript scannt automatisch die Maschine des Opfers nach Dateien mit gängigen Erweiterungen, um die Dateien dann zu verschlüsseln.
PowerWare hängt dann – genau wie die berüchtigte Locky-Malware – eine „.locky“-Erweiterung an die verschlüsselten Dateien. Es taucht zudem eine HTML-Datei mit dem Namen „_HELP_instructions.html“ auf, die in der Formulierung mit der Ransomware-Familie Locky identisch ist. Dieser Erpresserbrief ist in Ordnern mit verschlüsselten Dateien enthalten. Für den Fall, das Benutzer das Lösegeld zahlen möchten, können sie auf eine zur Verfügung gestellte Website navigieren. Diese enthält Anweisungen, wie Bitcoins erworben werden können. Auch hier sind Parallelen zur Ransomware-Familie Locky offensichtlich. (pi)
Be the first to comment