openPR Recherche & Suche
Presseinformation

Der Fall PowerLocker – Analyse einer Ransomware

13.03.201418:08 UhrIT, New Media & Software

(openPR) PowerLocker, auch PrisonLocker genannt, ist eine neue Familie von Ransomware, die Dateien auf dem Computer des Opfers verschlüsselt (wie bei anderer solcher Malware) und außerdem damit droht, die Computer von Anwendern zu blockie-ren, bis sie ein Lösegeld zahlen (wie beim „Police Virus“).


Obwohl die Idee, diese beiden Techniken zu kombinieren, mehr als ein paar schlaflose Nächte gekostet haben mag, ist die Malware in diesem Fall nur ein Prototyp. In der Entwicklungsphase hat der Malware-Autor in Blogs und Foren gepostet und seine Fortschritte beschrieben sowie die verschiedenen Techniken erklärt, die in den Code integriert sind.
Nachricht des Malware-Autors in Pastebin:
In diesem Post beschreibt der Autor beispielsweise, dass PowerLocker eine in c/c++ geschriebene Ransomware ist, die Dateien auf infizierten Computern ver-schlüsselt, den Bildschirm sperrt und Lösegeld fordert.
Die Ransomware verschlüsselt die Dateien, was typisch für diese Art von Malware ist. Dazu benutzt sie Blowfish als Verschlüsselungsalgorithmus mit einem einzig-artigen Schlüssel für jede verschlüsselte Datei. Sie speichert jeden Schlüssel, der mit einem öffentlichen/privaten RSA-2048 Schlüsselalgorithmus erzeugt wurde, sodass nur der Inhaber des privaten Schlüssels alle Dateien entschlüsseln kann.
Außerdem benutzt PowerLocker laut Aussage seines Autors sowohl anti-debugging, anti-sandbox und anti-VM Features als auch Tools, die beispielsweise den Task Manager, den Registry-Editor oder das Befehlszeilenfenster ausschal-ten.
Jedoch hat all die Publicity für PowerLocker, die der Autor in Foren und Blogs vor dem Erscheinen dieser Ransomware erzeugt hat, dazu geführt, dass er in Florida, USA, verhaftet wurde. Infolgedessen gibt es heute keine endgültige Version die-ser Malware und es gibt keine Beweise dafür, dass sie In-the-wild (in freier Wild-bahn) existiert.
Nichtsdestotrotz sind wir der Meinung, dass es sich lohnt, die aktuelle Version von PowerLocker zu analysieren, da noch jemand anders im Besitz des Quellco-des oder sogar einer neueren Version sein könnte.
Analyse von PowerLocker
PowerLocker überprüft zuerst, ob bereits zwei Dateien mit RSA-Schlüsseln er-stellt worden sind. Wenn das nicht der Fall ist, generiert er den öffentlichen und privaten Schlüssel in zwei Dateien auf der Festplatte (pubkey.bin und priv-key.bin).
Im Gegensatz zu anderen Ransomware-Exemplaren, welche den Windows Cryto-API-Service nutzen, benutzt PowerLocker die openssl-Programmbibliothek, um die Schlüssel zu erzeugen und die Dateien zu verschlüsseln.
Wenn er die Schlüssel hat, startet PowerLocker ein rekursives Durchsuchen der Verzeichnisse, um Dateien zum Verschlüsseln zu finden. Dabei schließt er – nicht sehr effektiv – Dateien aus, die einen der Dateinamen haben, die von der Malwa-re genutzt werden: privkey.bin, pubkey.bin, countdwon.txt, cryptedcount.txt. Er meidet auch $recycle.bin, .rans, .exe, .dll, .ini, .vxd oder .drv Dateien, um zu verhindern, dass dem Computer ein irreparabler Schaden zugefügt wird. Der Au-tor hat jedoch vergessen, bestimmte Erweiterungen auszuschließen, die Dateien entsprechen, welche empfindlich genug sind, um die Funktionalität des Systems zu beeinträchtigen, wie z. B. .sys Dateien. Das bedeutet, dass jeder mit Power-Locker infizierte Computer nicht mehr in der Lage wäre, einen Neustart auszu-führen.
Darüber hinaus ist es in dieser Version möglich, einen Parameter zu nutzen, um zu kontrollieren, ob die Ransomware mithilfe der anfangs erzeugten pubkey.bin und pivkey.bin Schlüssel Dateien verschlüsselt oder entschlüsselt.
Diese Version enthält nicht das vom Autor beschriebene Feature zum Sperren des Bildschirms, obwohl sie eine Konsole mit Debug-Nachrichten, Namen von zu verschlüsselnden/entschlüsselnden Dateien, etc. anzeigt und den Anwender auf-fordert, vor jeder Verschlüsselung oder Entschlüsselung eine Taste zu drücken.
Schlussfolgerungen
Gegenwärtig gibt es nur eine halbfertige Version von PowerLocker, die praktisch als harmlos bezeichnet werden kann und der viele der wichtigsten Features feh-len, die der Autor in Foren und Blogs beschrieben hat, wie z. B. Anti-Debugging, Bildschirmsperre, etc.
Obwohl die Ransomware noch nicht voll funktionsfähig ist, empfehlen wir ein System zum Sichern wichtiger Dateien, nicht nur um Sicherheit im Falle von Hardwareproblemen zu bieten, sondern auch um den Schaden solcher Arten von Malwareinfektionen zu minimieren.
Außerdem sollten User nicht vergessen, dass wenn sie kein Backup-System ha-ben und Ihr System infiziert wird, wir dringend davon abraten, das Lösegeld zu zahlen.

Diese Pressemeldung wurde auf openPR veröffentlicht.

Verantwortlich für diese Pressemeldung:

News-ID: 783162
 119

Kostenlose Online PR für alle

Jetzt Ihren Pressetext mit einem Klick auf openPR veröffentlichen

Jetzt gratis starten

Pressebericht „Der Fall PowerLocker – Analyse einer Ransomware“ bearbeiten oder mit dem "Super-PR-Sparpaket" stark hervorheben, zielgerichtet an Journalisten & Top50 Online-Portale verbreiten:

PM löschen PM ändern
Disclaimer: Für den obigen Pressetext inkl. etwaiger Bilder/ Videos ist ausschließlich der im Text angegebene Kontakt verantwortlich. Der Webseitenanbieter distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen. Wenn Sie die obigen Informationen redaktionell nutzen möchten, so wenden Sie sich bitte an den obigen Pressekontakt. Bei einer Veröffentlichung bitten wir um ein Belegexemplar oder Quellenennung der URL.

Pressemitteilungen KOSTENLOS veröffentlichen und verbreiten mit openPR

Stellen Sie Ihre Medienmitteilung jetzt hier ein!

Jetzt gratis starten

Weitere Mitteilungen von Panda Security PAV Germany GmbH

„Panda for ISP“: Managed Security Services für ISPs und MSPs
„Panda for ISP“: Managed Security Services für ISPs und MSPs
Die Anforderungen an Internet Service Provider sind heutzutage höher als je zuvor. Dienstleister, die sich einen Wettbewerbsvorteil im Markt sichern wollen, müssen sich deutlich von anderen Providern abheben. Zusätzliche Mehrwerte, Dienstleistungen und Services bieten da eine hervorragende Möglichkeiten Neukunden zu gewinnen und bestehende Nutzer zu binden. Gerade der Bereich IT-Security bietet sich hier geradezu an, um sinnvolle Mehrwerte zu generieren, da die meisten privaten Nutzer aufgrund der Komplexität der Angriffe nicht über das entsp…
Fernando Andrés ist neuer Global General Manager für Panda Advanced Protection Service
Fernando Andrés ist neuer Global General Manager für Panda Advanced Protection Service
Das Cloud Security Unternehmen Panda Security hat Fernando Andrés zum neuen Global General Manager für den revolutionären Managed Service „Panda Advanced Protection Service“ ernannt. Die Aufgabe von Andrés wird es sein, das internationale Wachstum dieses neuen Sicherheitsmodells – Panda Security’s neuem Aushängeschild – voranzutreiben. Fernando Andrés hat in seiner mehr als 20-jährigen beruflichen Laufbahn in verschiedenen Führungspositionen von Unternehmen wie Salesforce.com und Microsoft ein umfangreiches Fachwissen über Geschäftsstrategi…

Das könnte Sie auch interessieren:

WannaCry: RadarServices richtet Adhoc-Infosservice zu Sofort- und Vorbeugungsmaßnahmen für Unternehmen ein
WannaCry: RadarServices richtet Adhoc-Infosservice zu Sofort- und Vorbeugungsmaßnahmen für Unternehmen ein
… in ungeahntem Ausmaß weltweit aus. Derzeit kursieren offizielle Zahlen von 230.000 Infektionen in 150 Ländern weltweit. Die Dunkelziffer der Geräte, die durch die Ransomware betroffen ist, ist jedoch weitaus höher denn Unternehmen und Behörden möchten die Reputationsschäden, die eine Veröffentlichung eines erlittenen Cyberangriffs mit sich bringen würden, …
Bild: Malware-Trends 2013: Norman erwartet Zunahme bei Windows-8-Viren, Ransomware, gezielten AngriffenBild: Malware-Trends 2013: Norman erwartet Zunahme bei Windows-8-Viren, Ransomware, gezielten Angriffen
Malware-Trends 2013: Norman erwartet Zunahme bei Windows-8-Viren, Ransomware, gezielten Angriffen
… Angriffe werden 2013 weiter zunehmen und auf immer mehr Dienste und Organisationen ausgedehnt, auch Cloud-Systeme sollen davon betroffen sein. Eine Zunahme sieht Fagerland ebenfalls bei Ransomware, mit der Lösegeld für den Zugriff auf den eigenen Rechner und die Daten erpresst wird. Diese Entwicklung wird sich mit noch hartnäckigeren Varianten fortsetzen. …
Bild: Digital Recovery PHD GmbH treibt Ransomware-Datenrettung voranBild: Digital Recovery PHD GmbH treibt Ransomware-Datenrettung voran
Digital Recovery PHD GmbH treibt Ransomware-Datenrettung voran
Ransomware-Angriffe treffen Unternehmen aller Branchen. Produktionsstopps, Datenverlust und Reputationsschäden sind die Folge – oft verbunden mit der Frage, ob nur die Zahlung von Lösegeld hilft. Digital Recovery PHD GmbH zeigt, dass professionelle Datenrettung auch nach komplexen Verschlüsselungsangriffen möglich ist. Durch eigens entwickelte Verfahren, …
Cryptowall meldet sich mit schädlichen Hilfedateien (.chm) zurück
Cryptowall meldet sich mit schädlichen Hilfedateien (.chm) zurück
… – Teaser Laut den Bitdefender-Malware-Forschern hat eine neue Spam-Welle mit schädlichen .chm-Anhängen bereits hunderte Posteingänge erreicht, um auf diesem Wege die berühmt-berüchtigte Cryptowall-Ransomware zu verbreiten. Interessanterweise greifen die Hacker dabei zu einer Methode, die vielleicht ein wenig aus der Mode gekommen ist, sich dafür aber …
Bild: Digital Recovery startet kostenfreien SIRIS Backup-CheckBild: Digital Recovery startet kostenfreien SIRIS Backup-Check
Digital Recovery startet kostenfreien SIRIS Backup-Check
Die Zahl gezielter Ransomware-Angriffe auf Unternehmen in der Region wächst stetig. Wer verhindern will, dass seine kritischen Daten im Ernstfall verloren gehen, muss auf ein cyber-resilientes Backup-System setzen. Mit dem kostenfreien SIRIS Backup-Check ermöglicht die Digital Recovery ab September 2025 eine realistische Standortbestimmung, die IT-Verantwortlichen …
Bild: RAID ausgefallen, Rebuild fehlgeschlagen: Wie Unternehmensdaten retten?Bild: RAID ausgefallen, Rebuild fehlgeschlagen: Wie Unternehmensdaten retten?
RAID ausgefallen, Rebuild fehlgeschlagen: Wie Unternehmensdaten retten?
… nicht mehr erkanntIn solchen Fällen müssen Datenträger im Reinraum geöffnet und stabilisiert werden, bevor eine logische Rekonstruktion der Daten möglich ist.Ransomware als zusätzlicher RisikofaktorZunehmend sind auch RAID- und Storage-Systeme von Ransomware betroffen. Dabei werden nicht nur Produktivdaten, sondern häufig auch Backup-Systeme verschlüsselt. …
Bild: Incident Response nach LockBit 5.0-Angriffen: Zwei Fälle aus DeutschlandBild: Incident Response nach LockBit 5.0-Angriffen: Zwei Fälle aus Deutschland
Incident Response nach LockBit 5.0-Angriffen: Zwei Fälle aus Deutschland
Cyberangriffe mit Ransomware gelten in vielen Unternehmen noch immer als beherrschbares Risiko. Zwei aktuelle Vorfälle aus Deutschland zeigen jedoch, wie schnell moderne Angriffsszenarien etablierte Schutz- und Wiederherstellungsmechanismen aushebeln können. In beiden Fällen waren nicht nur produktive Systeme betroffen, sondern auch die vorhandenen Backup-Infrastrukturen …
Bild: SonicWall benennt Sicherheits-Trends und aktuelle Cyber-GefahrenBild: SonicWall benennt Sicherheits-Trends und aktuelle Cyber-Gefahren
SonicWall benennt Sicherheits-Trends und aktuelle Cyber-Gefahren
… den wichtigsten Ergebnissen zählen: die Anzahl der Point-of-Sale-Malware hat sich um 93 Prozent verringert. Weit verbreitete Exploit-Kits sind verschwunden und Angriffe durch Ransomware stiegen um das 167-Fache. Aus seinem „Annual Threat Report 2017“ schließt SonicWall, dass der Kampf der Sicherheitsexperten gegen Cyber-Kriminelle im Jahr 2016 unentschieden …
Bild: Digital Recovery warnt vor unseriösen "Datenrettern"Bild: Digital Recovery warnt vor unseriösen "Datenrettern"
Digital Recovery warnt vor unseriösen "Datenrettern"
… Schaden.Gefahren von Lockangeboten in der DatenrettungLockangebote mit auffällig niedrigen Preisen sind für viele Firmen im IT-Notfall verlockend. Gerade im Stressmoment eines Ransomware-Angriffs verlieren Verantwortliche oft die nötige Distanz und greifen vorschnell zu vermeintlich günstigen Lösungen. Die Digital Recovery verweist aus Erfahrung darauf, …
Bild: Schützen Sie Ihre Daten vor Bedrohungen wie der Mobef-Salam RansomwareBild: Schützen Sie Ihre Daten vor Bedrohungen wie der Mobef-Salam Ransomware
Schützen Sie Ihre Daten vor Bedrohungen wie der Mobef-Salam Ransomware
Mobef-Salam Ransomware Beschreibung Die Mobef-Salam Ransomware ist ein Verschlüsselungs-Ransomware-Trojaner, der erstmals am 23. Februar 2018 beobachtet wurde. Die Mobef-Salam Ransomware ist anderen Ransomware-Trojanern sehr ähnlich, die in letzter Zeit veröffentlicht wurden, einschließlich der Pariser Ransomware und der Mobef Ransomware. Die Mobef-Salam …
Sie lesen gerade: Der Fall PowerLocker – Analyse einer Ransomware