PwndLocker si rinnova in ProLock Ransomware

23/03/2020

PwndLocker ransomware

All’inizio di marzo è comparso un nuovo ransomware, denominato PwndLocker, che prende di mira le reti aziendali, ma dopo poco tempo i ricercatori Michael Gillespie e Fabian Wosar di Emsisoft hanno individuato un bug che ha permesso loro di creare un decryptor per recuperare i file senza pagare il riscatto.

Nelle settimane successive, il ransomware è mutato in ProLock Ransomware. Secondo quanto scoperto dal ricercatore Sophos PeterM, la nuova versione viene veicolata attraverso un’immagine BMP denominata WinMgr.bmp. Nell’immagine è incorporato l’eseguibile del ransomware. Il file BMP viene visualizzato correttamente ma contiene anche dei dati binari che vengono successivamente riassemblati da uno script PowerShell che li inietta direttamente nella memoria.

Il ransomware cifra i file presenti nel dispositivo aggiungendo l’estensione .proLock

In ogni cartella che è stata scansionata, ProLock creerà una nota di riscatto denominata [How to recover files].txt contenente le istruzioni e le informazioni sul pagamento.

Conclusioni

Al momento non ci sono evidenze di campagne rivolte verso utenti italiani. Il CERT-PA continua a monitorare la diffusione, eventuali altre evidenze saranno comunicate.