在本月初，美国科技媒体BleepingComputer公开披露了一种名为“PwndLocker”的新型勒索病毒。据称，此勒索病毒的感染对象主要是企业网络，索取的赎金在17.5万美元到66万美元之间。

幸运的是，ID Ransomware的Michael Gillespie和Emsisoft的Fabian Wosar很快就发现了此勒索病毒的一个漏洞，并在此基础之上构建了一个能够帮助受害者企业在无需支付赎金的情况下就可以恢复被加密文件的解密程序。

PwndLocker卷土重来，更名为“ProLock”

在初次尝试失败之后，PwndLocker的开发人员似乎并没有因此放弃。相反，他们已经成功修复了存在的漏洞，并将修复后的PwndLocker更名为了“ProLock”，重新向企业网络发起攻击。

根据Sophos研究人员PeterM的说法，新的ProLock勒索软件目前主要通过一个名为“WinMgr.bmp”的文件进行传播。该文件通常存储在“C:ProgramData”文件夹下，而勒索软件可执行文件就嵌入此BMP文件中。

在图片查看器中打开此BMP文件，除了一片漆黑和右上角的几个小点，你将看不到其他任何图像。

图1.在图片查看器中打开WinMgr.bmp

但如果你在十六进制编辑器打开它，则可以看到它还包含了一些二进制数据。

图2. 在十六进制编辑器中打开WinMgr.bmp

分析表明，这些二进制数据将被一个PowerShell脚本重新组合，然后注入内存。

图3.PowerShell脚本

ProLock的加密方法

执行后，ProLock首先会清除计算机上的卷影副本。

vssadmin.exe delete shadows /all /quiet

vssadmin.exe resize shadowstorage /for=D: /on=D: /maxsize=401MB

vssadmin.exe resize shadowstorage /for=D: /on=D: /maxsize=unbounded

然后，它将加密计算机上除包含如下扩展名之外的所有文件。

.exe, .dll, .lnk, .ico, .ini, .msi, .chm, .sys, .hlf, .lng, .inf, .ttf, .cmd, .bat, .vhd, .bac, .bak, .wbc, .bkf, .set, .win, .dsk

文件在被加密后，将多出一个.proLock扩展名。例如，1.doc在被加密后，将被重命名为1.doc.proLock。

图4.被加密文件示例

最后，ProLock将在每一个被加密文件所在的文件夹中创建一个名为“[HOW TO RECOVER FILES].TXT”的赎金票据，其中包含有关如何连接到Tor以获取付款信息的说明。

图5.ProLock赎金票据

与PwndLocker一样，ProLock索取的赎金金额依旧很高——80比特币（约价值47万美元）。

图6.ProLock勒索软件Tor付款站点

结语

如上所述，PwndLocker/ProLock的开发者已经修复了存在的漏洞，这也就使得免费解密成为了不可能。

我们再次提醒企业用户，请一定要建立起数据备份制度并严格执行。如此一来，即使是感染了勒索软件，我们也可以从备份中恢复或重建文件。

免责声明：本站系公益性非盈利IT技术普及网，本文由投稿者转载自互联网的公开文章，文末均已注明出处，其内容和图片版权归原网站或作者所有，文中所述不代表本站观点，若有无意侵权或转载不当之处请从网站右下角联系我们处理，谢谢合作！