Threat Database Ransomware Power Worm Ransomware

Power Worm Ransomware

Por GoldSparrow em Ransomware

O Power Worm Ransomware é uma infecção por ransomware que foi projetada para criptografar os dados armazenados em um computador, mantendo-o como refém até que a vítima pague um resgate. Infelizmente, um erro na programação do Power Worm Ransomware resultou em uma ameaça de ransomware que destrói os dados em vez de apenas encripta-los. A versão mais recente do Power Worm Ransomware criptografa os dados da vítima e depois exclui a chave de criptografia AES, em vez de transferi-la para um terceiro servidor. Devido a isso, os arquivos criptografados se tornam impossíveis de serem recuperados, mesmo que a vítima pague o resgate. Os analistas de segurança do PC recomendam que os usuários de computador não paguem o resgate exigido pelo Power Worm Ransomware. Ainda que os usuários de computador devam evitar o pagamento de qualquer montante a um ransomware, o Power Worm Ransomware é especialmente notório, porque ele não permite que os usuários de computador recuperem os seus dados.

A Falha na Codificação do Power Worm Ransomware

A maioria das ameaças de ransomware permitem que os usuários de computador recuperem os seus dados depois deles terem sido criptografados. O Power Worm Ransomware é uma ameaça mais perigosa ainda, porque o Power Worm Ransomware impede que os usuários de computador recuperem os seus dados, devido a um erro presente na sua programação. O Power Worm Ransomware tem uma falha no modo como ele inicializa o mecanismo de criptografia. A intenção original do Power Worm Ransomware era usar uma chave de criptografia AES estática para todos os computadores visados. Isso significa que todos os usuários de computador seriam capazes de recuperar os seus dados usando a mesma chave de decodificação. Isso daria aos criadores do Power Worm Ransomware
a vantagem de evitar a criação de um site de pagamento e um sistema ou de ter que lidar com qualquer tipo de mecanismo de descriptografia. Infelizmente, os idealizadores do Power Worm Ransomware não instalaram a chave AES corretamente quando ela foi convertida para uma string Base64. Isto significa que, quando um script tenta decodificar a seqüência de caracteres, ele falha, proporcionando um valor vazio em vez da variável que deveria conter a string AES decodificada. Um caractere que falta na cadeia é o principal motivo para a falha do Power Worm Ransomware. O fato de que a chave aleatória não foi salva ou decifrada significa que os dados da vítima são essencialmente destruídos. Isso aponta para o fato de que os idealizadores do Power Worm Ransomware não testaram o Power Worm Ransomware corretamente, destruindo qualquer possibilidade dos usuários de computador recuperarem os seus arquivos.

O Processo de Ataque e Infecção do Power Worm Ransomware

O Power Worm Ransomware é um script Powershell que é bastante compacto, composto por apenas 54 camadas. Quando o Power Worm Ransomware é executado, ele exclui todas as cópias de arquivos do Shadow Volume no computador da vítima (para evitar que os usuários de computadores usem as cópias do Shadow para restaurar os seus arquivos). Então o Power Worm Ransomware detecta todas as unidades no computador da vítima e faz a varredura dessas unidades para encontrar os arquivos que correspondem a uma lista de extensões. As extensões visadas pelo Power Worm Ransomware são:

*.pdf,*.xls,*.docx,*.xlsx,*.mp3,*.waw,*.jpg,*.jpeg,*.txt,*.rtf,*.doc,*.rar,*.zip,*.psd,*.tif,
*.wma,*.gif,*.bmp,*.ppt,*.pptx,*.docm,*.xlsm,*.pps,*.ppsx,*.ppd,*.eps,*.png,*.ace,*.djvu,*.tar,*.cdr,*.max,
*.wmv,*.avi,*.wav,*.mp4,*.pdd,*.php,*.aac,*.ac3,*.amf,*.amr,*.dwg,*.dxf,*.accdb,*.mod,
*.tax2013,*.tax2014,*.oga,*.ogg,*.pbf,*.ra,*.raw,*.saf,*.val,*.wave,*.wow,*.wpk,*.3g2,*.3gp,*.3gp2,
*.3mm,*.amx,*.avs,*.bik,*.dir,*.divx,*.dvx,*.evo,*.flv,*.qtq,*.tch,*.rts,*.rum,*.rv,*.scn,*.srt,
*.stx,*.svi,*.swf,*.trp,*.vdo,*.wm,*.wmd,*.wmmp,*.wmx,*.wvx,*.xvid,*.3d,*.3d4,*.3df8,*.pbs,*.adi,
*.ais,*.amu,*.arr,*.bmc,*.bmf,*.cag,*.cam,*.dng,*.ink,*.jif,*.jiff,*.jpc,*.jpf,*.jpw,*.mag,*.mic,
*.mip,*.msp,*.nav,*.ncd,*.odc,*.odi,*.opf,*.qif,*.xwd,*.abw,*.act,*.adt,*.aim,*.ans,*.asc,*.ase,
*.bdp,*.bdr,*.bib,*.boc,*.crd,*.diz,*.dot,*.dotm,*.dotx,*.dvi,*.dxe,*.mlx,*.err,*.euc,*.faq,*.fdr,
*.fds,*.gthr,*.idx,*.kwd,*.lp2,*.ltr,*.man,*.mbox,*.msg,*.nfo,*.now,*.odm,*.oft,*.pwi,*.rng,*.rtx,
*.run,*.ssa,*.text,*.unx,*.wbk,*.wsh,*.7z,*.arc,*.ari,*.arj,*.car,*.cbr,*.cbz,*.gz,*.gzig,*.jgz,
*.pak,*.pcv,*.puz,*.r00,*.r01,*.r02,*.r03,*.rev,*.sdn,*.sen,*.sfs,*.sfx,*.sh,*.shar,*.shr,*.sqx,
*.tbz2,*.tg,*.tlz,*.vsi,*.wad,*.war,*.xpi,*.z02,*.z04,*.zap,*.zipx,*.zoo,*.ipa,*.isu,*.jar,*.js,
*.udf,*.adr,*.ap,*.aro,*.asa,*.ascx,*.ashx,*.asmx,*.asp,*.indd,*.asr,*.qbb,*.bml,*.cer,*.cms,*.crt,
*.dap,*.htm,*.moz,*.svr,*.url,*.wdgt,*.abk,*.bic,*.big,*.blp,*.bsp,*.cgf,*.chk,*.col,*.cty,*.dem,
*.elf,*.ff,*.gam,*.grf,*.h3m,*.h4r,*.iwd,*.ldb,*.lgp,*.lvl,*.map,*.md3,*.mdl,*.mm6,*.mm7,
*.mm8,*.nds,*.pbp,*.ppf,*.pwf,*.pxp,*.sad,*.sav,*.scm,*.scx,*.sdt,*.spr,*.sud,*.uax,*.umx,*.unr,*.uop,*.usa,
*.usx,*.ut2,*.ut3,*.utc,*.utx,*.uvx,*.uxx,*.vmf,*.vtf,*.w3g,*.w3x,*.wtd,*.wtf,*.ccd,*.cd,*.cso,
*.disk,*.dmg,*.dvd,*.fcd,*.flp,*.img,*.iso,*.isz,*.md0,*.md1,*.md2,*.mdf,*.mds,*.nrg,*.nri,*.vcd,
*.vhd,*.snp,*.bkf,*.ade,*.adpb,*.dic,*.cch,*.ctt,*.dal,*.ddc,*.ddcx,*.dex,*.dif,*.dii,*.itdb,*.itl,
*.kmz,*.lcd,*.lcf,*.mbx,*.mdn,*.odf,*.odp,*.ods,*.pab,*.pkb,*.pkh,*.pot,*.potx,*.pptm,*.psa,*.qdf,
*.qel,*.rgn,*.rrt,*.rsw,*.rte,*.sdb,*.sdc,*.sds,*.sql,*.stt,*.t01,*.t03,*.t05,*.tcx,*.thmx,*.txd,
*.txf,*.upoi,*.vmt,*.wks,*.wmdb,*.xl,*.xlc,*.xlr,*.xlsb,*.xltx,*.ltm,*.xlwx,*.mcd,*.cap,*.cc,*.cod,
*.cp,*.cpp,*.cs,*.csi,*.dcp,*.dcu,*.dev,*.dob,*.dox,*.dpk,*.dpl,*.dpr,*.dsk,*.dsp,*.eql,*.ex,*.f90,
*.fla,*.for,*.fpp,*.jav,*.java,*.lbi,*.owl,*.pl,*.plc,*.pli,*.pm,*.res,*.rsrc,*.so,*.swd,
*.tpu,*.tpx,*.tu,*.tur,*.vc,*.yab,*.8ba,*.8bc,*.8be,*.8bf,*.8bi8,*.bi8,*.8bl,*.8bs,*.8bx,*.8by,*.8li,*.aip,
*.amxx,*.ape,*.api,*.mxp,*.oxt,*.qpx,*.qtr,*.xla,*.xlam,*.xll,*.xlv,*.xpt,*.cfg,*.cwf,*.dbb,*.slt,
*.bp2,*.bp3,*.bpl,*.clr,*.dbx,*.jc,*.potm,*.ppsm,*.prc,*.prt,*.shw,*.std,*.ver,*.wpl,*.xlm,*.yps,
*.md3,*.1cd

Infelizmente, o Power Worm Ransomware não salva a chave de decodificação AES depois que os arquivos são criptografados, essencialmente tornando-os irrecuperáveis. Além de criptografar os arquivos, o Power Worm Ransomware cria um arquivo HTML para cada arquivo criptografado, chamado DECRYPT_INSTRUCTION.html. Isso é uma nota de resgate que é idêntica às usadas por outras infecções populares de ransomware. o Power Worm Ransomware, no entanto, inclui uma falsa identidade excusivamentec criada para a vítima e a direciona para sites de pagamento no TOR. Ao contrário de outras ameaças de ransomware, não há nenhuma maneira de recuperar os dados criptografados pelo Power Worm Ransomware, mesmo que o resgate seja pago. Devido a isso, os usuários de computador devem abster-se de fazer qualquer pagamento.

Como Lidar com uma Infecção pelo Power Worm Ransomware

A melhor proteção contra ameaças como o Power Worm Ransomware é usar um aplicativo de segurança confiável e ser esperto ao navegar na rede. Todo o ataque do Power Worm Ransomware pode ser considerado ineficaz se os usuários de computador tiveram tempo de fazer o backup de todos os seus dados importantes em uma unidade externa ou no Cloud, permitindo-lhes restaurar os seus arquivos depois de terem sido criptografadas.

Postagens Relacionadas

Tendendo

Mais visto

Carregando...