SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Ransomware SchildDie Malware-Analyseabteilung von Palo Alto Networks hat eine neue Variante von PowerWare entdeckt, die auch als PoshCoder bekannt ist und die gefürchtete Ransomware-Familie Locky nachahmt.

PoshCoder verschlüsselt seit 2014 Dateien mit PowerShell. Die neue Variante namens PowerWare wurde im März 2016 entdeckt. Die Malware verschlüsselt die Dateien auf den Rechner ihrer Opfer und verlangt eine Lösegeldzahlung mit der Kryptowährung Bitcoin.

Neben der Verwendung der Dateinamenerweiterung „.locky“ für verschlüsselte Dateien, nutzt diese PowerWare-Variante den gleichen Erpresserbrief wie die Malware-Familie Locky. Dies ist nicht das erste Mal, das PowerWare andere Malware-Familien imitiert: Frühere Versionen nutzten den Erpresserbrief von CryptoWall. Es gibt zudem weitere Beispiele von Ransomware, die auf Programmcode von anderer Ransomware zurückgreift, wie beispielsweise die Ransomware-Familie TeslaCrypt.

Unit 42, das Anti-Malware-Team von Palo Alto Networks, hat ein Python-Skript geschrieben, welches .locky-Dateien auf einem infizierten Computer findet und diese wieder in ihren ursprünglichen Zustand zurückversetzt. Der Decrypter ist hier zu finden.

Eine erste Analyse von PowerWare zeigte, dass das untersuchte Sample eine ausführbare .net-Datei ist. Nach sorgfältiger Prüfung der Malware mit einem .net-Dekompilierungsprogramm namens dnSpy erschien das Wort „PowerGUI“ von Quest Software. Dies deutete darauf hin, dass die Malware den PowerShell-Skript-Editor nutzt, der Powershell-Skripts in ausführbare Microsoft-Dateien umwandelt.

Bei näherer Betrachtung der ausführbaren .net-Datei entdeckte Unit 42, dass diese ScriptRunner.dll nutzt, um ein PowerShell-Skript namens fixed.ps1 zu entpacken. In Wirklichkeit ist diese in Microsoft Windows ausführbare .net-Datei nur verantwortlich für das Entpacken eines eingebetteten Skripts, das mit PowerShell.exe ausgeführt wird. Das Skript befindet sich in einer ZIP-Datei mit dem Namen Scripts.zip. Das PowerShell-Skript ist sehr ähnlich zu anderen PoshCoder/PowerWare-Varianten. Das untersuchte Sample verwendet AES-128-Verschlüsselung mit einem hartcodierten Schlüssel. Da der Schlüssel statisch ist und die Malware scheinbar nur die ersten 2.048 Bytes der Zieldateien verschlüsselt, ist eine Entschlüsselung der Dateien möglich, ohne das Lösegeld zu bezahlen. Es ist auch kein Netzwerk-Beacon enthalten, der versucht, zufällig generierte Bytes für den Schlüssel zu übertragen, wie es einige Varianten tun. Das PowerShell-Skript scannt automatisch die Maschine des Opfers nach Dateien mit gängigen Erweiterungen, um die Dateien dann zu verschlüsseln.

PowerWare hängt dann – genau wie die berüchtigte Locky-Malware – eine „.locky“-Erweiterung an die verschlüsselten Dateien. Es taucht zudem eine HTML-Datei mit dem Namen „_HELP_instructions.html“ auf, die in der Formulierung mit der Ransomware-Familie Locky identisch ist. Dieser Erpresserbrief ist in Ordnern mit verschlüsselten Dateien enthalten. Für den Fall, das Benutzer das Lösegeld zahlen möchten, können sie auf eine zur Verfügung gestellte Website navigieren. Diese enthält Anweisungen, wie Bitcoins erworben werden können. Auch hier sind Parallelen zur Ransomware-Familie Locky offensichtlich.

www.paloaltonetworks.com
 

GRID LIST
DNS

DNS wird zur ersten Verteidigungslinie gegen Cyber-Attacken

F-Secure und die Global Cyber Alliance bekämpfen künftig gemeinsam bösartige URLs mit…
Fisch aus Wasser

Gezielte Cyberangriffe von „MuddyWater“

Unit 42, das Forschungsteam von Palo Alto Networks, hat Cyberangriffe beobachtet, die sie…
Malware

Was Sie jetzt über Malware wissen müssen

Neue Viren, Ransomware und Co erfordern aktuelle Anti-Malware-Programme: Häufig ist die…
DDoS

Mehr komplexe DDoS-Attacken: Gaming-Industrie im Visier

In verschiedenen Ländern sind Ressourcen ins Visier der Angreifer geraten, ebenso wie wir…
Thomas Ehrlich

„Ordinypt“ entpuppt sich als gefährlicher Wiper

Die vermeintliche Ransomware „Ordinypt“ erweist sich als gefährlicher Wiper. Ein…
IT-Sicherheit

BSI Lagebericht: IT-Sicherheit in Deutschland 2017

Dank dem BSI und vielen anderen Security-Forschern liegen uns heute wesentlich mehr…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet