Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Ransomware SchildDie Malware-Analyseabteilung von Palo Alto Networks hat eine neue Variante von PowerWare entdeckt, die auch als PoshCoder bekannt ist und die gefürchtete Ransomware-Familie Locky nachahmt.

PoshCoder verschlüsselt seit 2014 Dateien mit PowerShell. Die neue Variante namens PowerWare wurde im März 2016 entdeckt. Die Malware verschlüsselt die Dateien auf den Rechner ihrer Opfer und verlangt eine Lösegeldzahlung mit der Kryptowährung Bitcoin.

Neben der Verwendung der Dateinamenerweiterung „.locky“ für verschlüsselte Dateien, nutzt diese PowerWare-Variante den gleichen Erpresserbrief wie die Malware-Familie Locky. Dies ist nicht das erste Mal, das PowerWare andere Malware-Familien imitiert: Frühere Versionen nutzten den Erpresserbrief von CryptoWall. Es gibt zudem weitere Beispiele von Ransomware, die auf Programmcode von anderer Ransomware zurückgreift, wie beispielsweise die Ransomware-Familie TeslaCrypt.

Unit 42, das Anti-Malware-Team von Palo Alto Networks, hat ein Python-Skript geschrieben, welches .locky-Dateien auf einem infizierten Computer findet und diese wieder in ihren ursprünglichen Zustand zurückversetzt. Der Decrypter ist hier zu finden.

Eine erste Analyse von PowerWare zeigte, dass das untersuchte Sample eine ausführbare .net-Datei ist. Nach sorgfältiger Prüfung der Malware mit einem .net-Dekompilierungsprogramm namens dnSpy erschien das Wort „PowerGUI“ von Quest Software. Dies deutete darauf hin, dass die Malware den PowerShell-Skript-Editor nutzt, der Powershell-Skripts in ausführbare Microsoft-Dateien umwandelt.

Bei näherer Betrachtung der ausführbaren .net-Datei entdeckte Unit 42, dass diese ScriptRunner.dll nutzt, um ein PowerShell-Skript namens fixed.ps1 zu entpacken. In Wirklichkeit ist diese in Microsoft Windows ausführbare .net-Datei nur verantwortlich für das Entpacken eines eingebetteten Skripts, das mit PowerShell.exe ausgeführt wird. Das Skript befindet sich in einer ZIP-Datei mit dem Namen Scripts.zip. Das PowerShell-Skript ist sehr ähnlich zu anderen PoshCoder/PowerWare-Varianten. Das untersuchte Sample verwendet AES-128-Verschlüsselung mit einem hartcodierten Schlüssel. Da der Schlüssel statisch ist und die Malware scheinbar nur die ersten 2.048 Bytes der Zieldateien verschlüsselt, ist eine Entschlüsselung der Dateien möglich, ohne das Lösegeld zu bezahlen. Es ist auch kein Netzwerk-Beacon enthalten, der versucht, zufällig generierte Bytes für den Schlüssel zu übertragen, wie es einige Varianten tun. Das PowerShell-Skript scannt automatisch die Maschine des Opfers nach Dateien mit gängigen Erweiterungen, um die Dateien dann zu verschlüsseln.

PowerWare hängt dann – genau wie die berüchtigte Locky-Malware – eine „.locky“-Erweiterung an die verschlüsselten Dateien. Es taucht zudem eine HTML-Datei mit dem Namen „_HELP_instructions.html“ auf, die in der Formulierung mit der Ransomware-Familie Locky identisch ist. Dieser Erpresserbrief ist in Ordnern mit verschlüsselten Dateien enthalten. Für den Fall, das Benutzer das Lösegeld zahlen möchten, können sie auf eine zur Verfügung gestellte Website navigieren. Diese enthält Anweisungen, wie Bitcoins erworben werden können. Auch hier sind Parallelen zur Ransomware-Familie Locky offensichtlich.

www.paloaltonetworks.com
 

GRID LIST
Tb W190 H80 Crop Int 28773ce6ebccd9323162fd11c9fd7dd5

Was erwartet uns im neuen Jahr?

Das Jahr neigt sich dem Ende zu und in der IT-Security-Branche ist es Zeit, Geschehnisse…
Tb W190 H80 Crop Int B34a63b800b442247f4ef4c805db59d1

IT-Risiken an die niemand denkt

NTT Security (Germany) warnt vor den Gefahren, die den Unternehmensnetzen durch…
Hacker

DarkVishnya: Beispiellose Cyberüberfälle auf Banken

Kaspersky Lab warnt Banken und Finanzinstitute vor einer heimtückischen…
Weihnachtsmann Dieb

Weihnachten: Ein Fest für Datendiebe

Der Online-Handel floriert zur Weihnachtszeit und wird gleichzeitig zum Schauplatz für…
Malware

Emotet-Malware verursacht hohe Schäden in Unternehmensnetzen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) und mehrere…
Trojaner

Neuer Mining-Trojaner für Linux entdeckt

Das verdeckte Schürfen von Kryptowährungen gehört heute zu den weltweit am meist…
Smarte News aus der IT-Welt