解密

　　如上所述，由于该恶意软件采用静态密钥，从而有可能对加密文件进行解密。实际上如图九所示，该恶意软件只是对前面2048个字节进行了加密。

　　▲PowerWare变种所加密的文件样本

　　以下截屏显示，脚本是如何在一个受到感染的Windows电脑上运行的。

▲运行解密脚本

　　我们希望该脚本能够给那些遭受PowerWare变种影响的受害者提供帮助。

　　结论

　　尽管有迹象表明这一样本为新型样本，但实际上它只是我们之前发现的恶意软件PowerWare系列的变种，只是与其他变种不同，它伪装成Locky系列恶意软件的样子。

　　Palo Alto Networks采用如下方法保护客户免受威胁影响，

　　所有与此恶意软件相关的域名和IP地址，都会被准确标记为“恶意”

　　所有在此事件中碰到的样本，都会被WildFire准确标记为“恶意”

　　借助AutoFocus tag 来对该系列恶意软件进行追踪和识别

　　攻击指示器

　　URLs

　　hxxp://bobbavice[.]top/RY.exe

　　hxxp://p6y5jnjxpfiibsyx.tor2web[.]org

　　hxxp://p6y5jnjxpfiibsyx.onion[.]to

　　hxxp://p6y5jnjxpfiibsyx.onion[.]cab

　　hxxp://p6y5jnjxpfiibsyx.onion[.]link

　　SHA256 Hashes

　　RY.exe -

　　7f1023a3d523ab15fe3cceb7fde8038199510703a65dd03d78b9548eb2596b51

　　Dropped PowerShell

　　fixed.ps1

　　cd7ca159f8e8dd057b0591abc2e773d5651a27718eb72e26623e64af859d2826

　　%USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

　　Written Files

　　_HELP_instructions.html

　　.locky