网络安全 频道

勒索软件假冒Locky恶意软件攫取钱财

  解密

  如上所述,由于该恶意软件采用静态密钥,从而有可能对加密文件进行解密。实际上如图九所示,该恶意软件只是对前面2048个字节进行了加密。

勒索软件假冒Locky恶意软件攫取钱财

  ▲PowerWare变种所加密的文件样本

  以下截屏显示,脚本是如何在一个受到感染的Windows电脑上运行的。

勒索软件假冒Locky恶意软件攫取钱财
▲运行解密脚本

  我们希望该脚本能够给那些遭受PowerWare变种影响的受害者提供帮助。

  结论

  尽管有迹象表明这一样本为新型样本,但实际上它只是我们之前发现的恶意软件PowerWare系列的变种,只是与其他变种不同,它伪装成Locky系列恶意软件的样子。

  Palo Alto Networks采用如下方法保护客户免受威胁影响,

  所有与此恶意软件相关的域名和IP地址,都会被准确标记为“恶意”

  所有在此事件中碰到的样本,都会被WildFire准确标记为“恶意”

  借助AutoFocus tag 来对该系列恶意软件进行追踪和识别

  攻击指示器

  URLs

  hxxp://bobbavice[.]top/RY.exe

  hxxp://p6y5jnjxpfiibsyx.tor2web[.]org

  hxxp://p6y5jnjxpfiibsyx.onion[.]to

  hxxp://p6y5jnjxpfiibsyx.onion[.]cab

  hxxp://p6y5jnjxpfiibsyx.onion[.]link

  SHA256 Hashes

  RY.exe -

  7f1023a3d523ab15fe3cceb7fde8038199510703a65dd03d78b9548eb2596b51

  Dropped PowerShell

  fixed.ps1

  cd7ca159f8e8dd057b0591abc2e773d5651a27718eb72e26623e64af859d2826

  %USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

  Written Files

  _HELP_instructions.html

  .locky

0
相关文章