{
	"id": "2d640599-b2df-4d29-919b-af67b95669cd",
	"created_at": "2026-04-06T00:12:50.817986Z",
	"updated_at": "2026-04-10T03:21:01.077957Z",
	"deleted_at": null,
	"sha1_hash": "5fa0d0b9425d9675a112480fcb83158f135cb799",
	"title": "Pažnja: Novi opasni ransomware pwndLocker i u Srbiji, napadnut Novi Sad!",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1066584,
	"plain_text": "Pažnja: Novi opasni ransomware pwndLocker i u Srbiji, napadnut\r\nNovi Sad!\r\nPublished: 2020-03-02 · Archived: 2026-04-05 12:54:03 UTC\r\nOtkriven je novi ransomware koji je mesecima delovao daleko od javnosti. Pretnja je globalna, napadnute su\r\norganizacije širom sveta, tako da treba biti oprezan i ažurirati definicije AV rešenja. Napadači određuju cenu\r\notkupnine u zavisnosti od veličine mreže, broja zaposlenih i godišnjih prihoda. Posle napada na gradove u SAD-u,\r\nsaznajemo da je napadnut i jedan grad u Srbiji!\r\nSlika 1. Poruka o otkupnini, pwndLocker. Izvor slike: MalwareHunterTeam.\r\nU poruci o otkupnini, napadači navode da će dekriptor čuvati mesec dana i apeluju na žrtve da im se jave u roku\r\nod dva dana kako bi dobili \"popust\". Takođe, posle 2 nedelje cena se duplira. Još jedna pretnja žrtvama je da će\r\nosetljive informacije koje su prikupili iz mreže organizacije pustiti u javnost.\r\nOvaj ransomware, pored toga što zaključava podatke, pokušava da obriše i Shadow kopije i da \"ubije\" procese i\r\nservise AV rešenja. Prema prvim informacijama, najverovatnije se radi o ciljanom ransomwaru koji napada tzv.\r\n\"high-value\" mete.\r\nTehničke detalje možete videti na slikama ispod, autor je Vitali Kremez:\r\nhttps://www.it-klinika.rs/blog/paznja-novi-opasni-ransomware-pwndlocker-i-u-srbiji\r\nPage 1 of 6\n\nhttps://www.it-klinika.rs/blog/paznja-novi-opasni-ransomware-pwndlocker-i-u-srbiji\r\nPage 2 of 6\n\nSymantec ga detektuje kao ML.Attribute.HighConfidence Trojan Horse, a Fortinet kao W32/AntiAV!tr.\r\nUpdate\r\nPotvrđeno je da je u pitanju napad na Novi Sad, što je preneo i portal 021. Tokom vikenda kriptovani su serveri\r\ngradskih uprava i nekoliko drugih javnih službi preko JKP Informatika. Gradske kamere trenutno ne funkcionišu,\r\na zaposlenima u gradskim službama rečeno je da ne mogu da pristupe svojim mejlovima.\r\nNovi Sad odbio da plati napadačima - 04.03.2020.\r\nKako prenosi portal 021, gradska uprava Novog Sada neće platiti otkupninu. Napadači su prvobitno tražili 50\r\nBTC (oko €400.000), a kasnije spustili cifru na 20 BTC. S obzirom na to da je i backup zaražen virusom, odnosno\r\nzaključan, Novi Sad će ostati bez svih kriptovanih podataka. Nije saopšteno šta je sve nestalo i koje su razmere\r\nnapada. Gradonačelnik Novog Sada Miloš Vučević je izjavio da je upad u sistem izvršen preko emaila.\r\nNapadi u SAD-u\r\nPrema pisanju portala Bleeping Computer, pwndLocker targetira velike kompanije i lokalnu (javnu) upravu. Ovaj\r\nransomware se pojavio u drugoj polovini 2019, a iznosi koje zahtevaju od svojih žrtava kreću se od $175.000 do\r\n$660.000 (isplata se vrši u Bitcoin kripto valuti). Još uvek nije poznato da li je neko od žrtava pristao da plati\r\notkupninu.\r\nhttps://www.it-klinika.rs/blog/paznja-novi-opasni-ransomware-pwndlocker-i-u-srbiji\r\nPage 3 of 6\n\nJedan od uspešnih napada ove grupe izvršen je na Lasalle County u državi Ilinois, a za dekriptor traže 50 BTC\r\n($442.000). Tvrde i da su pre zaključavanja najpre izvukli sve podatke sa mreže, ali za to nisu pružili dokaz.\r\nLasalle County ne planira da plati.\r\nPwndLocker Ransomware\r\nPwndLocker pokušava da isključi nekoliko Windows servisa preko 'net stop' komande kako bi mogao da kriptuje\r\npodatke. Neke od aplikacija čije servise \"gađa\" su: Veeam, Microsoft SQL Server, MySQL, Exchange, Acronis,\r\nZoolz, Backup Exec, Oracle, Internet Information Server (IIS), ali i AV rešenja Kaspersky, Malwarebytes, Sophos\r\ni McAfee. Takođe, na meti su i različiti procesi koje pokušava da prekine - Firefox, Word, Excel, Access i druge\r\nprocese vezane za bezbednosna rešenja, backup i database servere.\r\nZatim pomoću sledećih komandi \"čisti\" Shadow Volume kopije kako ne žrtva ne bi mogla da vrati fajlove:\r\nvssadmin.exe delete shadows /all /quiet\r\nvssadmin.exe resize shadowstorage /for=D: /on=D: /maxsize=401MB\r\nvssadmin.exe resize shadowstorage /for=D: /on=D: /maxsize=unbounded\r\nKada izvrše sve pripreme, PwndLocker kreće da zaključava računare, ali preskače fajlove sa sledećim\r\nekstenzijama:\r\n.exe, .dll, .lnk, .ico, .ini, .msi, .chm, .sys, .hlf, .lng, .inf, .ttf, .cmd, .bat, .vhd, .bac, .bak, .wbc, .bkf, .set,\r\n.win, .dsk\r\nTakođe, preskače i sve fajlove na sledećim lokacijama (folderima):\r\n$Recycle.Bin\r\nWindows\r\nSystem Volume Information\r\nPerfLogs\r\nCommon Files\r\nDVD Maker\r\nInternet Explorer\r\nKaspersky Lab\r\nKaspersky Lab Setup Files\r\nWindowsPowerShell\r\nMicrosoft\r\nhttps://www.it-klinika.rs/blog/paznja-novi-opasni-ransomware-pwndlocker-i-u-srbiji\r\nPage 4 of 6\n\nMicrosoft.NET\r\nMozilla Firefox\r\nMSBuild\r\nWindows Defender\r\nWindows Mail\r\nWindows Media Player\r\nWindows NT\r\nWindows Photo Viewer\r\nWindows Portable Devices\r\nWindows Sidebar\r\nWindowsApps\r\nAll Users\r\nUninstall Information\r\nMicrosoft\r\nAdobe\r\nMicrosoft\r\nMicrosoft_Corporation\r\nPackages\r\nTemp\r\nMalwareHunterTeam je primetio da u zavisnosti od žrtve, zaključani fajlovi dobijaju ekstenzije .key ili .pwnd.\r\nUzorak koji je Bleeping Computer analizirao ima .key ekstenziju, što se vidi na slici ispod:\r\nhttps://www.it-klinika.rs/blog/paznja-novi-opasni-ransomware-pwndlocker-i-u-srbiji\r\nPage 5 of 6\n\nSlika 6. Fajlovi koje je kriptovao pwndLocker. Izvor slike: Bleeping Computer.\r\nKada završe proces enkripcije podataka, na više lokacija (uključujući i desktop) ostavljaju tekstualni fajl, odnosno\r\nporuku o otkupnini sa nazivom H0w_T0_Rec0very_Files.txt, a kao dokaz da će dekriptor raditi, nude da\r\nbesplatno otključaju do 2 fajla.\r\nSource: https://www.it-klinika.rs/blog/paznja-novi-opasni-ransomware-pwndlocker-i-u-srbiji\r\nhttps://www.it-klinika.rs/blog/paznja-novi-opasni-ransomware-pwndlocker-i-u-srbiji\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "CS",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.it-klinika.rs/blog/paznja-novi-opasni-ransomware-pwndlocker-i-u-srbiji"
	],
	"report_names": [
		"paznja-novi-opasni-ransomware-pwndlocker-i-u-srbiji"
	],
	"threat_actors": [],
	"ts_created_at": 1775434370,
	"ts_updated_at": 1775791261,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/5fa0d0b9425d9675a112480fcb83158f135cb799.pdf",
		"text": "https://archive.orkl.eu/5fa0d0b9425d9675a112480fcb83158f135cb799.txt",
		"img": "https://archive.orkl.eu/5fa0d0b9425d9675a112480fcb83158f135cb799.jpg"
	}
}