勒索软件假冒Locky恶意软件攫取钱财

  • 时间:
  • 浏览:1
  • 来源:幸运快3_快3注册邀请码_幸运快3注册邀请码

  解密

  如上所述,将会该恶意软件采用静态密钥,从而有将会对加密文件进行解密。实际上如图九所示,该恶意软件而是对前面2048个字节进行了加密。

  ▲PowerWare变种所加密的文件样本

  以下截屏显示,脚本是怎样才能在两个受到感染的Windows电脑上运行的。



▲运行解密脚本

  我门我门我门我门希望该脚本不不可以给哪些地方地方遭受PowerWare变种影响的受害者提供帮助。

  结论

  尽管有迹象表明你你这人样本为新型样本,但实际上它而是我门我门我门我门刚刚发现的恶意软件PowerWare系列的变种,而是与或者 变种不同,它伪装成Locky系列恶意软件的样子。

  Palo Alto Networks采用如下最好的办法保护客户免受威胁影响,

  所有与此恶意软件相关的域名和IP地址,都要被准确标记为“恶意”

  所有在此事件中碰到的样本,都要被WildFire准确标记为“恶意”

  借助AutoFocus tag 来对该系列恶意软件进行追踪和识别

  攻击指示器

  URLs

  hxxp://bobbavice[.]top/RY.exe

  hxxp://p6y5jnjxpfiibsyx.tor2web[.]org

  hxxp://p6y5jnjxpfiibsyx.onion[.]to

  hxxp://p6y5jnjxpfiibsyx.onion[.]cab

  hxxp://p6y5jnjxpfiibsyx.onion[.]link

  SHA256 Hashes

  RY.exe -

  7f1023a3d523ab15fe3cceb7fde40038199510703a65dd03d78b9548eb2596b51

  Dropped PowerShell

  fixed.ps1

  cd7ca159f8e8dd057b0591abc2e773d5651a27718eb72e26623e64af859d2826

  %USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

  Written Files

  _HELP_instructions.html

  .locky