PowerLocker 5.4 Ransomware
PowerShell Locker 5.4 Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> PowerShell.Encoder.41
BitDefender -> Trojan.GenericKD.76316008
ESET-NOD32 -> PowerShell/Filecoder.DB
Kaspersky -> HEUR:Trojan-Ransom.PowerShell.Agent.pwl
Microsoft -> Ransom:PowerShell/PluCrypt.PA!MTB
Rising -> Ransom.LockFile/PS!9.8658 (XSE:WFN***
Tencent -> Win32.Trojan-Ransom.Agent.Bwnw
---
© Генеалогия: ранние версии PowerShell Locker >> PowerShell Locker 5.4
Информация для идентификации
Активность этого крипто-вымогателя была в конце апреля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .PowerLocker
Примеры зашифрованных файлов:
image_name.jpg.dgfech0af528.PowerLocker
image_name.jpg.uXC958h8QC.PowerLocker
Записка с требованием выкупа называется: IMPORTANT.txt
Содержание записки о выкупе:
ALL YOUR IMPORTANT FILES ARE ENCRYPTED BY THE RANSOMWARE POWERLOCKER 5.4
WITH A POWERFULL AES-256 ENCRYPTION METHOD
Rules:
1. DO NOT CHANGE THE FILE EXTENSION AND NAME OF YOUR FILES OR YOUR FILES WILL BE LOST FOREVER
2. DO NOT USE ANY THIRD-PARTY SOFTWARE FOR DECRYPT YOUR DATA OR YOUR DATA CAN BE LOST FOREVER
But I promise you that all your files will be decrypted if you make the next steps.
1. Write a email to jpermar14@proton.me
2. In the email say that you were infected with the PowerLocker5.4 ransomware.
3. We will negociate the ransomware decryption software.
And that's all :)
ВСЕ ВАШИ ВАЖНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ RANSOMWARE POWERLOCKER 5.4
С МОЩНЫМ МЕТОДОМ ШИФРОВАНИЯ AES-256
Правила:
1. НЕ МЕНЯЙТЕ РАСШИРЕНИЕ И ИМЯ ВАШИХ ФАЙЛОВ, ИНАЧЕ ПОТЕРЯЕТЕ НАВСЕГДА
2. НЕ ИСПОЛЬЗУЙТЕ СТОРОННИЕ ПРОГРАММЫ ДЛЯ РАСШИФРОВКИ, ИНАЧЕ ПОТЕРЯЕТЕ НАВСЕГДА
Но я обещаю, что все ваши файлы будут расшифрованы, если вы сделаете следующие шаги.
1. Напишите email на jpermar14@proton.me
2. В письме укажите, что вы были инфицированы PowerLocker5.4 ransomware.
3. Мы обсудим стоимость программы для расшифровки.
И это все :)
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
IMPORTANT.txt - название файла с требованием выкупа;
PowerLocker5.5.ps1 - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: jpermar12@protonmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 1ea32cf0e9d1919ff2bed1e8d79e3baf
SHA-1: c13aa7bab0af75936e9ca8d43c97d7020632051c
SHA-256: eab74cb48e2926577d16ea10695b75185ca6c4b36f365c117e1cabe4900c6cd2
Vhash: 7b17214874b98bafd60edd59a6cfe651
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Write-up, Topic of Support ***
Thanks: PCrisk, petik Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.