PwndLocker-Betreiber benennen es nach der Fehlererkennung in ProLock um

PwndLocker Ransomware wurde Anfang dieses Monats entdeckt. Es zielte auf die Unternehmensnetzwerke ab und forderte ein Lösegeld zwischen 175.000 und 660.000 US-Dollar, das von der Größe der Netzwerke abhängt.

Kurz nach der Entdeckung entdeckten Michael Gillespie von ID Ransomware und Fabrian Wosar von Emsisoft Fehler in der Malware, die es ihnen ermöglichten, ein Entschlüsselungswerkzeug dafür zu erstellen. Somit konnten die Opfer dann auf die Akten zurückgreifen, ohne das Lösegeld zu zahlen.

Aufgrund dieses Fehlers haben die Entwickler die Ransomware in ProLock Ransomware umbenannt. PeterM, ein Forscher von Sophos, sagte, diese neue Ransomware werde über eine BMP-Bilddatei verbreitet, die unter dem Namen WinMgr.bmp in C: \ ProgrmData gespeichert wird. In diesem Bild ist die ausführbare Ransomware-Datei eingebettet.

Die BMP-Datei enthält einige Punkte in der oberen rechten Ecke, die über den Hex-Editor angezeigt werden. Dazu gehören eingebettete Binärdaten. Ein PowerShell-Skript ähnelt den Binärdaten und fügt sie in den Speicher ein.

Es ist nicht klar, woher die Malware Zugriff auf das Gerät hat. Es wird jedoch vermutet, dass der Zugriff über exponierte Remotedesktopdienste erfolgen könnte. “Sie haben eine Handvoll Server ins Visier genommen. Ich bin mir (noch) nicht sicher, wie sie dazu gekommen sind, aber ich kann einige Keygens und Cracking-Tools im Netzwerk sehen, die wahrscheinlich nur ein exponiertes RDP sind :-), sagte Peter in einem Tweet.

Es scheint keine Änderung in der Methode der Verschlüsselung vorgenommen zu werden. Das ProLock verwendet dieselbe Methode wie das von PwndLocker verwendete. Beim Start werden die Schattenkopien auf dem Gerät gelöscht, um die Wiederherstellung der Dateien zu sichern.

vssadmin.exe löscht Shadows / all / quiet

vssadmin.exe Größe ändern shadowstorage / for = D: / on = D: / maxsize = 401MB

vssadmin.exe Größe ändern shadowstorage / for = D: / on = D: / maxsize = unbegrenzt

 Anschließend werden die Dateien auf dem Gerät verschlüsselt. Es zielt auf die Dateien mit den Erweiterungen ab. .vhd, .bac, .bak, .wbc, .bkf, .set, .win, .dsk. Nach der Verschlüsselung erhalten diese Dateien eine neue Erweiterung. Das ProLock verwendet die Erweiterung .ProLock für den Namen einer verschlüsselten Datei. Beispielsweise wird aus einer Datei 1.doc 1.doc.ProLock.

Nach Abschluss des Verschlüsselungsprozesses erstellt die Ransomware eine Lösegeldnotiz in einer Datei mit dem Namen [SO WIEDERHERSTELLEN VON DATEIEN] .TXT, die Anweisungen zum Herstellen einer Verbindung mit einem Tor für die Zahlungsinformationen enthält. Hier ist der vollständige Text zu diesem Hinweis:

Ihre Dateien wurden von ProLock Ransomware mithilfe des RSA-2048-Algorithmus verschlüsselt.

   [.: Nichts Persönliches, nur Geschäftliches.]

Niemand kann Ihnen helfen, Dateien ohne unser spezielles Entschlüsselungstool wiederherzustellen.

Um Ihre Dateien zurückzubekommen, müssen Sie die Entschlüsselungsgebühr in BTC bezahlen.

Der endgültige Preis hängt davon ab, wie schnell Sie uns schreiben.

  1. Laden Sie den TOR-Browser herunter: https://www.torproject.org/
  2. Installieren Sie den TOR-Browser.
  3. Öffnen Sie den TOR-Browser.
  4. Öffnen Sie unsere Website im TOR-Browser: msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd.onion
  5. Melden Sie sich mit Ihrer ID xxx an

   *** Wenn Sie Probleme beim Verbinden oder Verwenden des TOR-Netzwerks haben:

   Kontaktieren Sie unseren Support per E-Mail [email protected]

   [Sie erhalten Anweisungen und Preis im Inneren]

Die Entschlüsselungsschlüssel werden 1 Monat lang gespeichert.

Wir haben auch Ihre sensiblen Daten gesammelt.

Wir würden es teilen, falls Sie sich weigern zu zahlen.

Eine Entschlüsselung mit Software von Drittanbietern ist nicht möglich.

Versuche, Dateien selbst zu entschlüsseln, führen zum Verlust Ihrer Daten.

Leider haben die Ransomware-Entwickler ihren Fehler, der die Entschlüsselung kostenlos ermöglichte, erfolgreich behoben. Die Opfer müssen die Dateien nicht stattdessen mithilfe von Sicherungen wiederherstellen oder ihre Dateien neu erstellen.