Hvordan fjerner PowerSniff Virus

trussel forskere på Palo Alto Networks, forklarer i et blog-indlæg at malware, som de har døbt “PowerSniff”, ankommer i en brugers indbakke som en ondsindet Word-dokument er knyttet til en spear phishing e-mail målretning ofrets selskab. Malware efterforskere rapport, at der er en ejendommelig Ransomware Trojan at deltage i teater af cryptomalware, der kaldes PowerSniff Ransomware. Du kan spørge, hvorfor PowerSniff Ransomware er forskellig fra andre cryptomalware, og svaret kan overraske dig. Rapporter tyder på, at PowerSniff Ransomware bruger en scanning algoritme til at bestemme, hvis det kører på et computersystem, der anvendes i en medicinsk eller uddannelses virksomhed. Forskere afsløre at den PowerSniff Trojan undgår at påføre skade til medicinske faciliteter og skolerne aktivt.

PowerSniff Virus

PowerSniff Ransomware er kendt for at scanne filen system for fravær af strenge ‘lærer,’ ‘skolebestyrelsen,’ ‘orthoped,’ ‘pediatrics,’ ‘studerende,’ ‘skole’, ‘hospital,’ college,’ ‘sundhed’, og ‘SYGEPLEJERSKEN’, før du fortsætter til kryptering fase. I modsætning til den Locky Ransomware og SamSam Ransomware, vil PowerSniff Trojan ikke fare for livet for patienter og ødelægge arbejde for professorer og studerende.

Hvis den vedhæftede fil er lanceret, vil en skadelig makro, der forsøge at udføre så snart dokumentet åbnes, eller det vil lynhurtig bruger hen til aktivere makroerne, før du fortsætter. Vellykket gennemførelse baner vejen for makroen til at åbne en hemmelig forekomst af powershell.exe der indeholder følgende argumenter (med webadresser fjernet): powershell.exe – ExecutionPolicy Bypass – WindowStyle skjult – noprofile når det har fundet ud af om det kører på en 32 – eller 64-bit forekomst af Microsoft Windows, malware downloads et PowerShell script, der indeholder en shellcode. Når først udført, at shellcode dekrypterer sig selv og til gengæld afvikler sine malware nyttelast. På dette tidspunkt, udfører malware en række tiltag for at indsamle flere oplysninger om den maskine, som det kører. For eksempel, scanner det for brugernavne som “MALWARE” og “VIRUS” samt en række biblioteker til at afgøre, om det kører i et virtualiseret miljø eller sandkasse. Dette er tydeligvis et forsøg på at undgå analyse af anti-virus forskere. PowerSniff kontrollerer også for fravær af strenge “Lærer,” “Studerende,” “SCHOOLBOARD,” “PEDIATRICS”, og “ORTHOPED”, men aktivt ser for tilstedeværelse af “POS”, “Gemme”, “Butik” og “Salg”. Grunzweig og Levene har delt deres teorier om, hvorfor malwaren opfører sig på denne måde: “som en oversigt til denne kontrol, det ser ud som om denne malware forsøger at aktivt undgå sundhedspleje og uddannelse maskiner samt målrette salg forekomster og maskiner, der gennemføre finansielle transaktioner. Lignende teknikker blev oplevet i en malware familie ved navn ‘Ursnif’ i midten af 2015.” Malwaren i sidste ende relæer oplysninger det har samlet tilbage til en af sine kommando og kontrol (C & C) servere. Hvis destinationscomputeren anses for at være af en vis interesse, svarer serveren med en DLL, der midlertidigt er skrevet til disken på %%userprofile%%\AppData\LocalLow\[random].db og som derefter køres ved hjælp af et kald til rundll32.exe. I øjeblikket, er det store flertal af brugernes skabagtig af PowerSniff og denne spam kampagne baseret i USA. Denne trussel kampagne kunne dog realistisk udvide til andre steder rundt om i verden.

Du skal ikke føle lettet, fordi PowerSniff Ransomware kan undgå væsentlige tjenester som uddannelse og medicinsk hjælp, da dens foretrukne mål er POS-systemer. PowerSniff Ransomware aktivt er rettet mod POS maskiner og kan prioritere kryptering af databaser og regneark hvis det registrerer strengene ‘POS,’ ‘gemme’, ‘Køb’ og «salg.» PowerSniff Trojan er pakket som en makroscript og indkapslet i et Microsoft Word-dokument, der er leveret til brugere via spear phishing e-mails. De fleste e-mails fyldt med PowerSniff Ransomware er skræddersyet til at ligne klager, der sendes til supportafdeling for virksomheder og tilskynde de gennemgå officer til at åbne den vedhæftede DOC-fil.

Skaberne af cryptomalware som om filer! Ransomware og CryptoDefense afhængige af Trojan-pipetter som Poshkod til at installere deres produkter, mens PowerSniff Ransomware følger den nyeste trend i run-time udførelse — ingen fil udskrift. Skaberne af PowerSniff Ransomware misbruge et årti-gamle teknik af infiltration, der udnytter Windows PowerShell. Det beskadigede dokument har en makroscript, der henter et PowerShell script, der indeholder shellcode og udføres uden at udløse en bruger beretning kontrol lynhurtig. Brugeren kan være forsynet med en lang tekst til at læse, mens shellcode af PowerSniff Ransomware hentes i baggrunden, og er importeret i pc’ens hukommelse direkte. På den måde PowerSniff Ransomware kan omgå Windows ordreudførelsespolitik og indlede den krypteringsproces, der ville bruge RSA-2048 krypteringsmetoden låse ofrets data. PowerSniff Ransomware kan låse mest almindelige filformater, der indeholder PDF-filer, billeder, musik, videoer, regneark, præsentationer og tekstdokumenter.

Brugere kan blive foreslået at installere TOR Browser bundle og købe 2 Bitcoins (ca $840), skal sendes som en løsesum for hentning af en dekrypteringsnøgle. Du kan spare dig selv hundredvis af dollars ved at investere i en bærbar harddisk til at gemme en offline sikkerhedskopi. Du kan bruge Windows skygge eksemplarer for at genskabe dine data fra et angreb med PowerSniff Ransomware. Derudover kan du downloade en ren version af dine filer, hvis du har installeret Google drev, Dropbox og Microsofts OneDrive, der holder revisioner af dine filer. Glem ikke at anvende en ordning-omfattende oprydning med et kendt anti-malware løsning inden vi går videre til at gendanne dine data.Download værktøj til fjernelse affjerne PowerSniff Virus

Windows OS ramt af PowerSniff Virus

  • Windows 1025% 
  • Windows 834% 
  • Windows 724% 
  • Windows Vista3% 
  • Windows XP14% 

Advarsel! Flere anti-virus scannere har netop fundet malware muligheden relateret til PowerSniff Virus.

Anti-Virus SoftwareVersionDetection
K7 AntiVirus9.179.12403Unwanted-Program ( PowerSniff Virus )
Kingsoft AntiVirus2013.4.9.267Win32.PowerSniff Virus
Malwarebytes1.75.0.1PUP.Optional.PowerSniff Virus
VIPRE Antivirus22702PowerSniff Virus
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.PowerSniff Virus
VIPRE Antivirus22224PowerSniff Virus.Generic
ESET-NOD328894Win32/PowerSniff Virus
Dr.WebAdware.PowerSniff Virus
Baidu-International3.5.1.41473PUP.Win32.PowerSniff Virus
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.PowerSniff Virus
McAfee5.600.0.1067Win32.Application.PowerSniff Virus
Malwarebytesv2013.10.29.10PUP.PowerSniff Virus
Tencent1.0.0.1Win32.PowerSniff Virus

PowerSniff Virus globale tendenser af land

Download værktøj til fjernelse affjerne PowerSniff Virus

Leave a comment

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret med *

Disse HTML koder og attributter er tilladte: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Image Image Image Image