Fajlovi koje je šifrovao ransomware PowerWare sada se mogu besplatno dešifrovati

Opisi virusa, 22.07.2016, 07:30 AM

Fajlovi koje je šifrovao ransomware PowerWare sada se mogu besplatno dešifrovati

Žrtve ransomwarea PowerWare mogu da odahnu - istraživači su pronašli rešenje za otključavanje fajlova koje je šifrovao ovaj ransomware.

PowerWare, koga su u martu ove godine prvi primetili bezbednosni istraživači iz firme Carbon Black, samo je kompleksnija verzija ransomwarea PoshCoder koji je otkriven 2014.

Od trenutka kada se pojavio, ovom ransomwareu je nedostajala sofisticiranost i osobenost, pa je PowerWare pokušavao da prođe kao neki drugi mnogo sofisticiraniji ransomwarei kao što je CryptoWall i kasnije kao TeslaCrypt.

Verzija PowerWarea koja se pojavila u martu pokušavala je da imitira TeslaCrypt ransomware, ali kada su sredinom maja autori TeslaCrypta odlučili da odustanu od svog ransomwarea, PowerWave više nije mogao da imitira TeslaCrypt.

Njegovi autori su zatim odabrali ransomware Locky, što je bila dobra odluka jer je Locky trenutno jedan od najaktivnijih ransomwarea.

Aktuelne verzije PowerWarea šifrovanim fajlovima dodaju ekstenziju .locky, i koriste isto obaveštenje o otkupu koje prikazuje i Locky.

Ta sličnost nije slučajna, a razlog za to je što su autori PowerWarea žele da iskoriste reputaciju mnogo moćnije pretnje.

Stručnjaci kompanije Palo Alto Networks analizirali su PowerWare koji koristi PowerShell za enkripciju, AES-128 algoritam za šifrovanje podataka, ali ne generiše nasumično ključ, niti dobija ključeve sa servera, već koristi ključ koji se nalazi u njegovom izvornom kodu.

Stručnjaci ove kompanije su iskoristili ove slabosti i obezbedili korisnicima besplatno rešenje za dešifrovanje fajlova.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje