PClock2 verlangt 0,5 Bitcoin als Lösegeld zur Entschlüsselung der Dateien
Wie bei anderen Arten von Ransomware ist es das Hauptziel von PClock2, wichtige Dateien auf dem System des Opfers zu verschlüsseln, und dieses dazu zu bringen, ein Lösegeld für seine Dateien zu bezahlen. PClock2 verschlüsselt Dateien mit einem zufällig generierten Schlüssel und dem RC4-Algorithmus. Wie die meisten anderen Varianten erfordert diese die Zahlung auch in Bitcoins und bietet dem Benutzer ein begrenztes Zeitfenster, um die Zahlung zu tätigen. Die Malware verkündet fälschlicherweise auch, dass 0,5 Bitcoin (das geforderte Lösegeld) ca. 0 USD entspricht, während die tatsächliche Umrechnung fast 128 USD beträgt.
Ähnlich wie ihr Vorgänger PClock, ähnelt auch diese Variante visuell Cryptolocker:
Diese Malware empfiehlt Benutzern auch, ihre Antivirus-Programme zu deaktivieren, um ein Löschen zu verhindern. Das Anwendungsfenster ist klar darauf ausgelegt, Benutzer zu bedrohen und in die Irre zu führen.
PClock2-Verhalten und Infektionsmethoden
PClock2 dringt in der Regel über infizierte Torrent-Downloads in das System des Benutzers ein. Sobald es sich auf dem Computer eines Opfers befindet, schafft PClock2 mit Hilfe des folgenden Registry-Eintrags Persistenz auf dem System:
- [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
„wincl“ = „%APPDATA%WinDskwindsk.exe“
PClock2 speichert zusätzliche Details über die Infektion, wie die Bitcoin-Zahlungsadresse, hier:
- HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsCLOCK
Was interessant ist, ist dass PClock2 auf 2583 Dateierweiterungen abzielt, was im Vergleich zu früheren von uns untersuchten Arten von Ransomware sehr viel ist. Da auf so viele unterschiedliche Dateierweiterungen abgezielt wird, ist die Liste zu lang, um sie in diesem Blog-Post zu veröffentlichen. Die Befehls- und Kontrollserver für diese Malware befinden sich unter folgenden Domains:
- http://balanzic.nl
- https://blog.knewmart.com
- http://nrg.facelook.no
- http://www.9188com.com
- http://dota2arcana.com
- http://faceoftopgame.sk
- http://thebatikapartemen.com
- http://www.42kiralama.com
Die extrahierten Malware-Dateien werden lokal an den folgenden Orten gespeichert:
%APPDATA%WinDskwindsk.exe – Die Malware-Programmdatei
%APPDATA%WinDskwindskwp.jpg – Das von der Malware generierte Wallpaper
%DESKTOP%CryptoLocker.lnk – Ein Shortcut zur Malware-Programmdatei
%USERPROFILE%enc_files.txt – Die Liste der verschlüsselten Dateien
Nach der Verschlüsselung aller gefundenen Dateien ändert die Ransomware den Desktop-Hintergrund des Benutzers auf dieses Bild:
Wiederherstellung Ihrer Dateien ohne das Lösegeld zu bezahlen
Glücklicherweise ist PCLock2 nicht annähernd so mächtig, wie es dies vorgibt, und keine Ihrer Dateien wurden tatsächlich beschädigt. Unser Malware-Forschungsteam hat einen Decrypter entwickelt, der es Ihnen ermöglicht, Ihre gesperrten Dateien wiederherzustellen, ohne das Lösegeld zu bezahlen. Sie können den Decrypter hier herunterladen.
Der Entschlüsselungsvorgang ist recht einfach, wie auf folgenden Screenshots dargestellt:
Wenn Sie sich nicht zutrauen, das Entschlüsselungsverfahren selbst durchzuführen, dürfen Sie gerne eine Support-Anfrage in unserem Forum erstellen oder uns eine E-Mail senden. Wir freuen uns, wenn Sie diesen Artikel teilen, damit mehr Opfern von PClock2 dabei geholfen werden kann, ihre Dateien wiederherzustellen.
Vorsorge ist immer besser als Nachsorge, weshalb wir Ihnen immer empfehlen, regelmäßig Sicherungen auszuführen, und ein starkes Antivirus-Programm zu verwenden, das Sie vor Infektionen schützt.
Wir wünschen einen schönen (Ransomware-freien) Tag!