• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    Descifrador para el ransomware PowerWare disponibles para descargar

    Descifrador para el ransomware PowerWare disponibles para descargar Las últimas versiones de powerware tratan de hacerse pasar como infecciones de Locky Una nueva versión del ransomware PowerWare que fue visto por primera vez en marzo ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Descifrador para el ransomware PowerWare disponibles para descargar

      Descifrador para el ransomware PowerWare disponibles para descargar


      Las últimas versiones de powerware tratan de hacerse pasar como infecciones de Locky



      Una nueva versión del ransomware PowerWare que fue visto por primera vez en marzo pasado trata de imitar al más famoso y poderoso ransomware Locky, pero por suerte, los investigadores han encontrado una manera de desbloquear los archivos cifrados por este ransomware.


      PowerWare, descubierto en marzo por los investigadores de seguridad de Carbon Black es sólo una versión más compleja del ransomware PoshCoder que fue visto por primera vez a partir del 2014.

      "PowerWare siempre trató de hacerse pasar por otras variantes ransomware"

      Desde sus inicios, este ransomware carecía tanto en sofisticación y personalidad, siempre trató de hacerse pasar por otro ransomware más sofisticado, la primera vez fue como CryptoWall, y más tarde como TeslaCrypt.

      La variante de marzo de PowerWare también trató de hacerse pasar por TeslaCrypt, pero al ver cómo los autores de TeslaCrypt decidieron cerrar sus operaciones a mediados de mayo, los creadores de Powerware se vieron obligados a abandonar la pantalla de TeslaCrypt y adoptar un nuevo antifaz.

      De acuerdo con Palo Alto Networks, eligieron a Locky, y eligieron bien ya que esta es una de las variantes ransomware más activos en hoy día.

      Las versiones actuales de PowerWare anexan la extensión del archivo .locky a los archivos cifrados, utilizando las mismas notas de rescate como Locky, palabra por palabra, e incluso emplean los mismos gráficos y texto en su sitio de pago de rescate como alternativa a Locky.

      La similitud no es un accidente, y la razón detrás de esto es porque los autores de Powerware quieren ocultar una familia ransomware inferior bajo la reputación de una amenaza con un motor más potente.

      "La rutina de débil cifrado conduce a la creación de un descifrador para PowerWare"


      Los investigadores de Palo Alto observaron que PowerWare, utiliza PowerShell para las operaciones de cifrado de archivos, utiliza un algoritmo AES-128 para cifrar los datos, pero no genera una clave aleatoria, ni recupera las claves desde un servidor, en cambio, el uso de una está incrustado en su código fuente.

      Como tal, los investigadores de Palo Alto han sacado provecho de esta debilidad de diseño y han creado un script en Python que los usuarios pueden ejecutar desde la línea de comandos de Windows y descifrar sus archivos.

      Otra señal de que este es un pobre intento de crear una familia ransomware es el hecho de que PowerWare sólo encripta los primeros 2048 bytes de archivos específicos, que muestra la falta de habilidades del autor, o la actitud indiferente a la creación de una amenaza adecuada. Jakub Kroustek, investigador de seguridad de AVG, ha dicho a Softpedia que versiones anteriores de PowerWare también emplean este sencillo algoritmo de cifrado que sólo encripta los primeros 2048 bytes de archivos específicos.


      Fuente: Softpedia
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Descifrador para el ransomware PowerWare disponibles para descargar

      Debe de ser el ransomware con menos personalidad ya que la primera vez se hacia pasar como CryptoWall, más tarde como TeslaCrypt y ahora como Locky

      Estuve analizando una muestra de este en el día de ayer, y por suerte no parece que vaya a conseguir muchas victimas



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      334

      Re: Descifrador para el ransomware PowerWare disponibles para descargar

      Muy bien, y que siga ese buen trabajo por parte de quienes están descifrando estos ramswonwer.