|
【IT168 案例】Palo Alto Networks威胁情报小组 Unit42近日宣布发现PowerWare(也被称为PoshCoder)的全新变种,在有意模仿臭名昭著的Locky勒索软件家族。PoshCoder自2014年开始便使用PowerShell对文档进行加密,2016年3月报道称其有新变种PowerWare出现,该恶意勒索软件可对受害者电脑里的文件进行加密,然后通过支付比特币等数字货币的方式向受害者进行勒索。 除了将".locky"作为加密过文件的扩展名,PowerWare还使用与Locky恶意软件家族相同的勒索信。对PowerWare来讲这不是第一次模仿其开奖直播恶意软件家族,其早期版本便使用CryptoWall 恶意软件的勒索信。此外,有些恶意软件还会借用其开奖直播软件的代码,比如TeslaCrypt系列恶意软件。 Unite42团队曾经编写过一个名为Python的脚本,可在受害者的电脑上逐次找到带有".locky"扩展名的文件并将其还原到初始状态。其解密版本可通过以下链接进行下载 ( https://github.com/pan-unit42/public_tools/blob/master/powerware/powerware_decrypt.py) 。 分析 对PowerWare的初步分析显示,该样本为.NET可执行文件,在使用一款名为dnSpy的.NET反编译程序对其进行细致检查后,本港台直播们在Quest Software上发现有“PowerGUI”字样显示,于是本港台直播们立刻意识到这一恶意软件使用的是PowerShell 脚本编辑器,其可将PowerShell脚本转换为Microsoft可执行文件。
反编译恶意软件变种所参考的PowerGUI
反编译主要功能 (责任编辑:本港台直播) |
