Специалисты ФБР опубликовали официальное предупреждение об активизации вируса-шифровальщика ProLock. Вредоносная программа направлена на организации в сфере здравоохранения, финансов, а также правительственный сектор. При этом зашифрованные файлы можно считать потерянными, поскольку инструмент для дешифровки файлов после атаки ProLock не работоспособен.
В сообщении отмечается, что все файлы, имеющие размер более 64 Мб, повреждаются в процессе расшифровки. Если файл имеет более 100 Мб, на каждый килобайт он теряет один байт. Существующий дешифратор не способен корректно работать без дополнительной настройки.
Стоит отметить, что у авторов ProLocker и раньше возникали проблемы в процессе создания дешифровщиков для вредоносных утилит. Первая версия шифровальщика (называлась PwndLocker0) впервые была зафиксирована в начале 2019 года. Основные цели утилиты – ресурсы правительственных и деловых организаций, при этом размер выкупа варьировался, в зависимости от размеров атакованной сети.
Однако специалисты быстро обнаружили серьезные ошибки в коде вируса, которые позволяли самостоятельно расшифровать файлы, не оплачивая выкуп преступникам. Разработчики исправили найденные ошибки, изменили название утилиты на ProLocker и начали постепенно наращивать активность.
По информации Group-IB, разработчики ProLock начали сотрудничать с операторами сети QakBot (банковский троянец), что позволило резко нарастить активность. Троянская программа не пытается непосредственно инсталлировать вирус-шифровальщик, но дополнительно активирует набор скриптов, которые позволяет изнутри изучить структуру атакованной сети. Скрипты извлекаются из файла с названием WinMgr (расширение JPG или BMP), после чего загружаются в память.
Некоторое время операторы ProLock сканируют сетевую инфраструктуру, пытаясь найти ценные данные. Перед стартом процесса шифрования осуществляется вывод найденной информации при помощи ПО Rclone. Данный инструмент работает через командную строку и предназначен для удобной синхронизации с облачными сервисами. Содержимое всех обнаруженных хранилищ также шифруется или уничтожается для предотвращения восстановления данных без оплаты выкупа. Размер выкупа составляет 175 – 660 тысяч долларов.