Comment supprimer PowerSniff Virus

les chercheurs de Palo Alto Networks de la menace, d’expliquer dans un blog que les logiciels malveillants, ce qu’ils ont baptisée « PowerSniff », arrive dans une boîte de réception comme un document Word malveillant, joint à un e-mail de phishing lance ciblant la compagnie de la victime. Malware chercheurs signalent qu’il y a un cheval de Troie Ransomware particulière rejoindre le théâtre de cryptomalware qui s’appelle PowerSniff Ransomware. Vous pourriez demander pourquoi les PowerSniff Ransomware diffère des autre cryptomalware, et la réponse peut vous surprendre. Des rapports suggèrent que la PowerSniff Ransomware utilise un algorithme de balayage pour déterminer si elle s’exécute sur un ordinateur utilisé dans un établissement médical ou éducatif. Chercheurs révèlent que le cheval de Troie PowerSniff évite d’infliger des dommages aux équipements médicaux et des écoles activement.

PowerSniff Virus

Le PowerSniff Ransomware est connu pour analyser le système de fichiers pour l’absence des chaînes ‘professeur’, ‘scolaire’, ‘deux’, « pediatrics », « étudiant », ‘école,’ ‘hôpital,’ Collège,’ « santé » et « NURSE » avant de passer à la phase de chiffrage. Contrairement à la Ransomware Nicolas et le SamSam Ransomware, le cheval de Troie PowerSniff pas mettre en danger la vie des patients et détruire le travail des professeurs et des étudiants.

Si la pièce jointe est lancée, une macro malveillante tentera d’exécuter dès que le document s’ouvre, ou il invitera l’utilisateur à activer les macros avant de continuer. L’exécution réussie ouvre la route pour la macro ouvrir une instance secret de powershell.exe qui contient les arguments suivants (avec des URL supprimés): powershell.exe – ExecutionPolicy contourner – WindowStyle masqué – noprofile une fois qu’il a compris qu’il s’exécute sur une instance 32 bits ou 64 bits de Microsoft Windows, le logiciel malveillant téléchargements un script PowerShell qui contient un shellcode. Une fois exécuté, ce shellcode déchiffre lui-même et à son tour exécute sa charge utile de logiciels malveillants. À ce stade, le malware effectue une série d’actions pour recueillir plus d’informations sur la machine sur lequel il s’exécute. Par exemple, il scanne pour les noms d’utilisateur comme « MALWARE » et « VIRUS » ainsi que plusieurs bibliothèques afin de déterminer si elle s’exécute dans un environnement virtualisé ou bac à sable. C’est clairement une tentative d’éviter l’analyse par des chercheurs de l’antivirus. PowerSniff vérifie également l’absence des chaînes « Maître », « Étudiant », « Samson », « PEDIATRICS » et « Deux », mais recherche activement la présence de « POS, » « Magasin », « SHOP » et « Vente ». Grunzweig et Levene ont partagé leurs théories quant à pourquoi le malware se comporte de cette manière: « comme un résumé de ces vérifications, il semblerait que ce malware tente activement éviter machines de soins de santé et d’éducation, ainsi que cibler les point de vente instances et de machines qui effectuent des transactions financières. Des techniques similaires ont été observées dans une famille de malware nommé ‘Ursnif’ en mi-2015. » Les logiciels malveillants en fin de compte relais informations il a recueilli dos à l’un de son commandement et de contrôle (C & C) serveurs. Si l’ordinateur cible est censée pour être de quelque intérêt, le serveur répond avec une DLL qui est temporairement écrites sur le disque à %%userprofile%%\AppData\LocalLow\[random].db et qui est ensuite exécutée à l’aide d’un appel à rundll32.exe. Actuellement, la grande majorité des utilisateurs affectés par cette campagne de spam et de PowerSniff est basée aux États-Unis. Toutefois, cette campagne de menace pourrait s’étendre facilement dans d’autres endroits dans le monde entier.

Vous ne devriez pas sentir soulagé parce que le PowerSniff Ransomware peut éviter des services essentiels comme l’éducation et l’aide médicale puisque ses cibles favorites sont les systèmes POS. Le PowerSniff Ransomware vise activement machines POS et peuvent classer le cryptage de bases de données et feuilles de calcul s’il détecte les chaînes « POS,’ « enregistrer », « shop » et « vente ». Le cheval de Troie PowerSniff est emballé comme un script de macro et enfermé dans un document Microsoft Word qui a été livré aux utilisateurs via email de spear phishing. E-mails plus chargés avec le PowerSniff Ransomware sont conçus pour ressembler à des plaintes qui sont envoyés vers le Bureau d’appui des entreprises et encouragent l’agent de révision pour ouvrir le fichier DOC joint.

Les créateurs de cryptomalware comme les fichiers de tout ! Ransomware et CryptoDefense dépendent de Troie-Droppers comme Poshkod pour déployer leurs produits tandis que le PowerSniff Ransomware suit la dernière tendance en exécution — aucun fichier impression. Les responsables de la PowerSniff Ransomware abusent une technique de décennies d’infiltration qui exploite le PowerShell Windows. Le document endommagé a un script de macro qui télécharge un script PowerShell qui contient shellcode et est exécuté sans déclencher une invite contrôle de compte d’utilisateur. L’utilisateur peut être fourni avec un long texte à lire alors que le shellcode de la PowerSniff Ransomware est téléchargé en arrière-plan et est importé directement dans la mémoire du PC. De cette façon la PowerSniff Ransomware peut contourner la stratégie d’exécution de Windows et entamer le processus de cryptage qui utiliserait la méthode de chiffrement RSA-2048 pour verrouiller des données de la victime. Le PowerSniff Ransomware peut verrouiller des formats de fichier plus courants qui incluent les fichiers PDF, images, musique, vidéos, tableurs, présentations et documents texte.

Les utilisateurs peuvent être suggérés pour installer la TOR Browser bundle et acheter des 2 Bitcoins (environ 840 dollars) qui doit être envoyés comme une rançon pour la récupération d’une clé de déchiffrement. Vous pouvez vous épargner des centaines de dollars en investissant dans un disque dur portable pour stocker une sauvegarde hors connexion. Vous pouvez utiliser les clichés instantanés de Windows pour récupérer vos données d’attaque avec le PowerSniff Ransomware. En outre, vous pouvez télécharger une version propre de vos fichiers si vous avez installé le lecteur de Google, Dropbox et OneDrive de Microsoft qui empêchent les révisions de vos fichiers. N’oubliez pas de demander un nettoyage systémique avec une solution de renom anti-malware avant de récupérer vos données.Télécharger outil de suppressionpour supprimer PowerSniff Virus

Our recommended software:

There are not many good anti-malware software's with high detection ratio. Our malware research team recommend to run several applications, not just one. These antimalware software's which listed below will help you to remove all pc threats like PowerSniff Virus.

SpyHunter4 Anti-MalwarePlumbytes Anti-Malware

Windows OS touchés par PowerSniff Virus

  • Windows 1023% 
  • Windows 831% 
  • Windows 726% 
  • Windows Vista4% 
  • Windows XP16% 

Mise en garde ! Plusieurs analyseurs antivirus ont détecté seulement possibilité de malware sur PowerSniff Virus.

Anti-Virus SoftwareVersionDetection
ESET-NOD328894Win32/PowerSniff Virus
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.PowerSniff Virus
Dr.WebAdware.PowerSniff Virus
VIPRE Antivirus22224PowerSniff Virus.Generic
VIPRE Antivirus22702PowerSniff Virus
McAfee-GW-Edition2013Win32.Application.PowerSniff Virus
Malwarebytesv2013.10.29.10PUP.PowerSniff Virus
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.PowerSniff Virus
McAfee5.600.0.1067Win32.Application.PowerSniff Virus
Baidu-International3.5.1.41473PUP.Win32.PowerSniff Virus
Tencent1.0.0.1Win32.PowerSniff Virus

PowerSniff Virus tendances mondiales par pays

Télécharger outil de suppressionpour supprimer PowerSniff Virus

Our recommended software:

There are not many good anti-malware software's with high detection ratio. Our malware research team recommend to run several applications, not just one. These antimalware software's which listed below will help you to remove all pc threats like PowerSniff Virus.

SpyHunter4 Anti-MalwarePlumbytes Anti-Malware

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>