PwndLocker był aktywny tylko przez chwilę. Przestępcy obrali sobie za cel rozbudowane infrastruktury, dlatego większość ataków dotknęła duże firmy oraz samorządy (więcej na ten temat przeczytacie tutaj). Haracz za dane oscylował w granicach 175-660 tys. dolarów amerykańskich. Jednak przestępczy proceder bardzo szybko przerwał błąd w kodzie zagrożenia, dzięki któremu ofiary były w stanie „samodzielnie” odszyfrować dane.

Teraz jednak wszystko się zmienia. Przestępcy naprawili błąd, uzbroili ransomware na nowo, a także… zmienili jego nazwę. Wszyscy lubimy wypierać niepowodzenia z pamięci – cyberprzestępca też człowiek.

ProLock działa dokładnie w taki sam sposób jak PwndLocker, z tą tylko różnicą że zaszyfrowane dane otrzymują rozszerzenie .proLock. Zdaniem specjalistów z firmy Sophos zagrożenie rozprzestrzenia się za pomocą pliku .BMP. Co ciekawe, obraz otwiera się prawidłowo, aczkolwiek ofiara zobaczy wyłącznie czarny ekran z kilkoma białymi punktami.

Specjaliści nie wiedzą jeszcze w jaki sposób przestępom udaje się umieścić plik .BMP na docelowym urządzeniu. Być może atakujący wykorzystują do tego nadal niezabezpieczony RDP lub wykorzystują inne niezałatane podatności.

Źródło