IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Ransomware SchildDie Malware-Analyseabteilung von Palo Alto Networks hat eine neue Variante von PowerWare entdeckt, die auch als PoshCoder bekannt ist und die gefürchtete Ransomware-Familie Locky nachahmt.

PoshCoder verschlüsselt seit 2014 Dateien mit PowerShell. Die neue Variante namens PowerWare wurde im März 2016 entdeckt. Die Malware verschlüsselt die Dateien auf den Rechner ihrer Opfer und verlangt eine Lösegeldzahlung mit der Kryptowährung Bitcoin.

Neben der Verwendung der Dateinamenerweiterung „.locky“ für verschlüsselte Dateien, nutzt diese PowerWare-Variante den gleichen Erpresserbrief wie die Malware-Familie Locky. Dies ist nicht das erste Mal, das PowerWare andere Malware-Familien imitiert: Frühere Versionen nutzten den Erpresserbrief von CryptoWall. Es gibt zudem weitere Beispiele von Ransomware, die auf Programmcode von anderer Ransomware zurückgreift, wie beispielsweise die Ransomware-Familie TeslaCrypt.

Unit 42, das Anti-Malware-Team von Palo Alto Networks, hat ein Python-Skript geschrieben, welches .locky-Dateien auf einem infizierten Computer findet und diese wieder in ihren ursprünglichen Zustand zurückversetzt. Der Decrypter ist hier zu finden.

Eine erste Analyse von PowerWare zeigte, dass das untersuchte Sample eine ausführbare .net-Datei ist. Nach sorgfältiger Prüfung der Malware mit einem .net-Dekompilierungsprogramm namens dnSpy erschien das Wort „PowerGUI“ von Quest Software. Dies deutete darauf hin, dass die Malware den PowerShell-Skript-Editor nutzt, der Powershell-Skripts in ausführbare Microsoft-Dateien umwandelt.

Bei näherer Betrachtung der ausführbaren .net-Datei entdeckte Unit 42, dass diese ScriptRunner.dll nutzt, um ein PowerShell-Skript namens fixed.ps1 zu entpacken. In Wirklichkeit ist diese in Microsoft Windows ausführbare .net-Datei nur verantwortlich für das Entpacken eines eingebetteten Skripts, das mit PowerShell.exe ausgeführt wird. Das Skript befindet sich in einer ZIP-Datei mit dem Namen Scripts.zip. Das PowerShell-Skript ist sehr ähnlich zu anderen PoshCoder/PowerWare-Varianten. Das untersuchte Sample verwendet AES-128-Verschlüsselung mit einem hartcodierten Schlüssel. Da der Schlüssel statisch ist und die Malware scheinbar nur die ersten 2.048 Bytes der Zieldateien verschlüsselt, ist eine Entschlüsselung der Dateien möglich, ohne das Lösegeld zu bezahlen. Es ist auch kein Netzwerk-Beacon enthalten, der versucht, zufällig generierte Bytes für den Schlüssel zu übertragen, wie es einige Varianten tun. Das PowerShell-Skript scannt automatisch die Maschine des Opfers nach Dateien mit gängigen Erweiterungen, um die Dateien dann zu verschlüsseln.

PowerWare hängt dann – genau wie die berüchtigte Locky-Malware – eine „.locky“-Erweiterung an die verschlüsselten Dateien. Es taucht zudem eine HTML-Datei mit dem Namen „_HELP_instructions.html“ auf, die in der Formulierung mit der Ransomware-Familie Locky identisch ist. Dieser Erpresserbrief ist in Ordnern mit verschlüsselten Dateien enthalten. Für den Fall, das Benutzer das Lösegeld zahlen möchten, können sie auf eine zur Verfügung gestellte Website navigieren. Diese enthält Anweisungen, wie Bitcoins erworben werden können. Auch hier sind Parallelen zur Ransomware-Familie Locky offensichtlich.

www.paloaltonetworks.com
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet