Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Powershell Ransomware

09-07-2017, 22:44 door SecGuru_OTX, 2 reacties
Voor de geintresseerde:

Nieuwe powershell ransomware:

JS met Powershell, detectie 0, twee Sandboxen detecteren ook niets. Ook geen detectie op payload.

C2: hxxp://joelosteel[.]gdn/pi.php

JS: https://virustotal.com/en/file/7a6d5ae7d7bc2849ea40907912a27e8aa6c83fafd952168f9e2d43f76881300c/analysis/1499628585/

Analyse: https://www.reverse.it/sample/7a6d5ae7d7bc2849ea40907912a27e8aa6c83fafd952168f9e2d43f76881300c?environmentId=100

Melding: https://twitter.com/secguru_otx/status/884136470910562304

Bestandsextensies wijzigen niet.
Reacties (2)
10-07-2017, 10:11 door Anoniem
Door SecGuru_OTX: Voor de geintresseerde:

Nieuwe powershell ransomware:

JS met Powershell, detectie 0, twee Sandboxen detecteren ook niets. Ook geen detectie op payload.

C2: hxxp://joelosteel[.]gdn/pi.php

JS: https://virustotal.com/en/file/7a6d5ae7d7bc2849ea40907912a27e8aa6c83fafd952168f9e2d43f76881300c/analysis/1499628585/

Analyse: https://www.reverse.it/sample/7a6d5ae7d7bc2849ea40907912a27e8aa6c83fafd952168f9e2d43f76881300c?environmentId=100

Melding: https://twitter.com/secguru_otx/status/884136470910562304

Bestandsextensies wijzigen niet.

Klikbare links werken een stuk gemakkelijker. En wat meer uitleg geven ook. Nu moeten we zelf eerst alle links openen en doorlezen.....

Snelle oplossing, gewoon powershell geen Internet toegang geven in je Windows Firewall. Idem voor eventueel wscript.exe.
10-07-2017, 12:11 door SecGuru_OTX
Ik was gisteren nogal druk, derhalve de beperkte informatie.

Het unieke aan deze Powershell Ransomware is dat hij GEEN Payload hoeft te downloaden, dus werkt ook op (offline) Windows machines ZONDER internet verbinding. Eenmaal via email, usb of worm op de PC, dan kunnen de bestanden dus al worden versleuteld.

Connectie (van b.v. Powershell) op de Firewall dichtzetten heeft geen impact.

Hier meer uitleg:
https://myonlinesecurity.co.uk/new-powershell-ransomware-coming-in-malspam-emails-pretending-to-be-email-bounce-messages/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.