Новый PrisonLocker не хуже, чем CryptoLocker, по заявлению экспертов

Эксперты обнаружили новый троян-локер PrisonLocker/PowerLocker, софт станет достойным наследником известного трояна CryptoLocker, заразившего около 250 000 компьютеров в Америке и Западной Европе с сентября по декабрь 2013 года.

CryptoLocker шифрует документы на жестком диске — и дает жертве несколько дней на то, чтобы собрать деньги и перечислить их на указанный кошелек. В этом случае они обещают выдать ключ для расшифровки документов. Стоимость выкупа изначально составляла 2 BTC, но по мере роста курса биткоина снижалась до 1 BTC, 0,5 BTC и, в конце концов, 0,3 BTC.

Новая программа PrisonLocker/PowerLocker будет обращаться с пользователями более жестко, если верить функционалу, который описывает ее автор. По его словам, программа будет шифровать не только документы, но также видеофайлы, фотографии и другие файлы на компьютере пользователя (кроме .exe, .dll, .sys, других системных файлов) с помощью шифра BlowFish. Уникальный ключ для каждого ПК защищен шифрованием RSA-2048 (одна пара ключей RSA на каждый компьютер).

Владелец командного сервера сможет переустанавливать или удалять таймер с каждого ПК и снимать шифрование с файлов после получения корректного платежного кода.

Клиентская часть PrisonLocker/PowerLocker сможет определять виртуальное окружение VM, песочницы или дебаггера, что затруднит анализ зловреда антивирусными компаниями. Программа отключает клавиши Windows и Escape на клавиатуре, чтобы избежать неправильных действий пользователя в процессе шифрования и после него. Она также убивает процессы taskmgr.exe, regedit.exe, cmd.exe, explorer.exe и msconfig.exe. Проверка и удаление этих процессов осуществляется каждые несколько миллисекунд.