1. <small id="rw2jk"></small>
      網絡安全 頻道

      勒索軟件假冒Locky惡意軟件攫取錢財

        解密

        如上所述,由于該惡意軟件采用靜態密鑰,從而有可能對加密文件進行解密。實際上如圖九所示,該惡意軟件只是對前面2048個字節進行了加密。

      勒索軟件假冒Locky惡意軟件攫取錢財

        ▲PowerWare變種所加密的文件樣本

        以下截屏顯示,腳本是如何在一個受到感染的Windows電腦上運行的。

      勒索軟件假冒Locky惡意軟件攫取錢財
      ▲運行解密腳本

        我們希望該腳本能夠給那些遭受PowerWare變種影響的受害者提供幫助。

        結論

        盡管有跡象表明這一樣本為新型樣本,但實際上它只是我們之前發現的惡意軟件PowerWare系列的變種,只是與其他變種不同,它偽裝成Locky系列惡意軟件的樣子。

        Palo Alto Networks采用如下方法保護客戶免受威脅影響,

        所有與此惡意軟件相關的域名和IP地址,都會被準確標記為“惡意”

        所有在此事件中碰到的樣本,都會被WildFire準確標記為“惡意”

        借助AutoFocus tag 來對該系列惡意軟件進行追蹤和識別

        攻擊指示器

        URLs

        hxxp://bobbavice[.]top/RY.exe

        hxxp://p6y5jnjxpfiibsyx.tor2web[.]org

        hxxp://p6y5jnjxpfiibsyx.onion[.]to

        hxxp://p6y5jnjxpfiibsyx.onion[.]cab

        hxxp://p6y5jnjxpfiibsyx.onion[.]link

        SHA256 Hashes

        RY.exe -

        7f1023a3d523ab15fe3cceb7fde8038199510703a65dd03d78b9548eb2596b51

        Dropped PowerShell

        fixed.ps1

        cd7ca159f8e8dd057b0591abc2e773d5651a27718eb72e26623e64af859d2826

        %USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

        Written Files

        _HELP_instructions.html

        .locky

      0
      相關文章
        影视站,婷婷亚洲,色谷,老司机电影院