Prolock

Überblick

PwndLocker ist eine Ransomware, die nach den vorliegenden Angaben gegen Unternehmen sowie kommunale Verwaltungen und Stadtverwaltungen eingesetzt wurde. Die geforderten Lösegelder richteten sich dabei nach der Größe des betroffenen Netzwerks. Vor der Verschlüsselung bereitet die Schadsoftware das System gezielt vor: Sie versucht, zahlreiche Windows-Dienste abzuschalten, damit die zugehörigen Daten verschlüsselt werden können. Ebenso werden bestimmte Prozesse beendet, darunter Webbrowser sowie Software für Sicherheit, Datensicherung und Datenbanken. Anschließend löscht die Ransomware die Schattenkopien und beginnt erst dann mit der Verschlüsselung der Dateien. Ausführbare Dateien sowie solche, die für den weiteren Betrieb des Systems voraussichtlich erforderlich sind, werden offenbar übersprungen; ebenso bleibt eine größere Zahl von Verzeichnissen unberührt, die überwiegend zu den Microsoft-Windows-Systemdateien gehören. Verschlüsselte Dateien wurden mit den angehängten Endungen „.key“ und „.pwnd“ beobachtet. Die Erpressernachrichten werden in den Ordnern mit verschlüsselten Dateien sowie auf dem Desktop des Nutzers abgelegt.