{
	"id": "be84d379-bfb2-4dff-8dd9-4db2ac6d1815",
	"created_at": "2026-04-06T00:18:08.658672Z",
	"updated_at": "2026-04-10T13:11:21.815672Z",
	"deleted_at": null,
	"sha1_hash": "c517716db0d26bf3935ab9ee42e1f5e2acea145a",
	"title": "PwndLocker, KeyLocker",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 361343,
	"plain_text": "PwndLocker, KeyLocker\r\nArchived: 2026-04-05 16:07:02 UTC\r\nPwndLocker Ransomware\r\nKeyLocker Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные компьютеров сетей городских администраций, государственных\r\nслужб, предприятий, организаций и пр. с помощью AES, а затем требует выкуп в размере от $175 000 до\r\n$660 000 в BTC, чтобы вернуть файлы. Сумма выкупа зависит от размера сети, количества сотрудников и\r\nгодового дохода \"жертвы\". Эта информация собирается перед началом атаки. Оригинальное название: file\r\nlocker (указано в записке). На файле написано: разные названия.\r\nВажно! Оригинальный дешифровщик из-за ошибки не может расшифровать файлы размером более 64 Мб,\r\nпоэтому уплата выкупа в этом случае бесполезна. \r\nВы можете заказать расшифровку в Emsisoft по ссылке \u003e\u003e .\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.29865, Trojan.Encoder.30377, Trojan.Siggen9.16872, Trojan.Encoder.31166\r\nBitDefender -\u003e Trojan.Peed.Gen\r\nALYac -\u003e Trojan.Ransom.PwndLocker\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OAZ, A Variant Of Win32/Filecoder.PwndLocker.A\r\nFortinet -\u003e W32/AntiAV!tr\r\nGData -\u003e Win32.Trojan-Ransom.PwndLocker.A\r\nKaspersky -\u003e HEUR:Trojan.Win32.AntiAV, Trojan-Ransom.Win32.Pwnd.b\r\nMalwarebytes -\u003e Trojan.AntiAV, Ransom.PwndLocker\r\nMcAfee -\u003e Downloader-AE\r\nQihoo-360 -\u003e Win32/Trojan.Anti.afe\r\nRising -\u003e Trojan.AntiAV!8.9C4 (CLOUD), Spyware.POSCardStealer!8.644 (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence, Trojan Horse, Trojan.Gen.MBT\r\nTrendMicro -\u003e TROJ_GEN.R011C0PLE19, TROJ_FRS.0NA104C220\r\nVBA32 -\u003e Trojan.AntiAV\r\n© Генеалогия: PwndLocker \u003e ProLock\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 1 of 15\n\nИзображение — логотип статьи \r\nК зашифрованным файлам могут добавляться различные расширения: \r\n.pwnd\r\n.key\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на октябрь-декабрь 2019 года и продолжилась в феврале\r\n2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.\r\nИзвестно о пострадавших в США, Сербии и других странах Европы. \r\nЗаписка с требованием выкупа называется: H0w_T0_Rec0very_Files.txt\r\nСодержание записки о выкупе:\r\nYour network have been penetrated and encrypted with a strong algorythm\r\nBackups were either removed or encrypted\r\nNo one can help you to recover the network except us\r\nDo not share this link or email, otherwise, we will have to delete the decryption keys\r\nTo get your files back you have to pay the decryption fee in BTC.\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 2 of 15\n\nThe price depends on the network size, number of employess and annual revenue.\r\nDownload TOR-Browser: https://www.torproject.org/download/\r\nLogin ***** using your ID ******\r\nor\r\ncontact our support by email ***\r\nYou'll receive instructions inside.\r\nYou should get in contact with us within 2 days after you noticed the encryption to have a good discount.\r\nThe decryption key will be stored for 1 month.\r\nThe price will be increased by 100% in two weeks\r\nWe also have gathered your sensitive data.\r\nWe would share it in case you refuse to pay \r\nDo not rename or move encrypted files\r\nDecryption using third party software is impossible.\r\nAttempts to self-decrypting files will result in the loss of your data.\r\nПеревод записки на русский язык:\r\nВаша сеть была взломана и зашифрована с сильным алгоритмом\r\nРезервные копии были удалены или зашифрованы\r\nНикто не может помочь вам восстановить сеть, кроме нас\r\nНе делитесь этой ссылкой или email, иначе нам придется удалить ключи дешифрования\r\nЧтобы вернуть ваши файлы, вы должны заплатить за расшифровку в BTC.\r\nЦена зависит от размера сети, количества работников и годового дохода.\r\nЗагрузите TOR-браузер: https://www.torproject.org/download/\r\nВойдите в систему ***** используя свой ID ***\r\nили\r\nсвяжитесь с нашей службой поддержки по email ***\r\nВы получите инструкции внутри.\r\nВы должны связаться с нами в течение 2 дней после того, как вы заметили шифрование, чтобы получить\r\nхорошую скидку.\r\nКлюч дешифрования будет храниться в течение 1 месяца.\r\nЦена будет увеличена на 100% через две недели\r\nМы также собрали ваши конфиденциальные данные.\r\nМы поделимся этим в случае отказа от оплаты\r\nНе переименовывайте и не перемещайте зашифрованные файлы\r\nРасшифровка с использованием сторонних программ невозможна.\r\nПопытки самостоятельно расшифровать файлы приведут к потере ваших данных.\r\n---\r\nДополнительное сообщение от вымогателей\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 3 of 15\n\nСодержание сообщения:\r\nCongratulations\r\nif you are here, you are the victim of a file locker.\r\nTo get your files unlocked, please pay.\r\nIf you want to make test unlock, please contact support.\r\nПеревод на русский:\r\nПоздравляю\r\nесли вы здесь, вы жертва файлового локера.\r\nДля разблокировки файлов, платите.\r\nЕсли хотите сделать тест-разблок, пишите в поддержку.\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Удаляет теневые копии файлов на всех разделах дисков с помощью команд: \r\n'\u003cSYSTEM32\u003e\\vssvc.exe'\r\n'%WINDIR%\\syswow64\\vssadmin.exe' resize shadowstorage /for=C: /on=C: /maxsize=401MB\r\n'%WINDIR%\\syswow64\\vssadmin.exe' resize shadowstorage /for=C: /on=C: /maxsize=unbounded\r\n'%WINDIR%\\syswow64\\vssadmin.exe' resize shadowstorage /for=D: /on=D: /maxsize=401MB\r\n'%WINDIR%\\syswow64\\vssadmin.exe' resize shadowstorage /for=D: /on=D: /maxsize=unbounded\r\n'%WINDIR%\\syswow64\\vssadmin.exe' resize shadowstorage /for=E: /on=E: /maxsize=401MB\r\n'%WINDIR%\\syswow64\\vssadmin.exe' delete shadows /all /quiet' , 0\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 4 of 15\n\n'%WINDIR%\\syswow64\\vssadmin.exe' resize shadowstorage /for=F: /on=F: /maxsize=401MB' , 0\r\n'%WINDIR%\\syswow64\\vssadmin.exe' resize shadowstorage /for=F: /on=F: /maxsize=unbounded' , 0\r\n➤ Для распространения использует съёмные носители. Для обеспечения автозапуска и распространения\r\nсоздает следующие файлы на съёмном носителе (X - любое имя диска):\r\nX:\\H0w_T0_Rec0very_Files.txt\r\nX:\\delete.avi\r\nX:\\correct.avi\r\nX:\\split.avi\r\nX:\\default.bmp\r\nX:\\dialmap.bmp\r\nX:\\dashborder_192.bmp\r\nX:\\dashborder_120.bmp\r\nX:\\contosoroot.cer\r\nX:\\contoso_1.cer\r\nX:\\sdkfailsafeemulator.cer\r\nX:\\contoso.cer\r\nX:\\testee.cer\r\nX:\\holycrosschurchinstructions.docx\r\nX:\\sdszfo.docx\r\n➤ Запускает на исполнение следующие команды с целью завершения процессов (Process Killer): \r\n'%WINDIR%\\syswow64\\taskkill.exe' /IM firefox.exe /F\r\n'%WINDIR%\\syswow64\\net.exe' stop sacsvr /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SamSs /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SAVAdminService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SAVService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SDRSVC /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SepMasterService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop ShMonitor /y\r\n'%WINDIR%\\syswow64\\net.exe' stop Smcinst /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SMTPSvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$PRACTTICEMGT /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SNAC /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SntpService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop sophossps /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$BKUPEXEC /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$CITRIX_METAFRAME /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$CXDB /y\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 5 of 15\n\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$ECWDB2 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$PRACTTICEBGC /y\r\n'%WINDIR%\\syswow64\\net.exe' stop RESvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SmcService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop ReportServer$TPSAMA /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQLServerOLAPService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQLFDLauncher$SHAREPOINT /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQLFDLauncher$SQL_2008 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQLFDLauncher$SYSTEM_BGC /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQLFDLauncher$TPS /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQLFDLauncher$TPSAMA /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQLSERVER /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQLServerADHelper /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQLServerADHelper100 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MySQL57 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop ReportServer$SYSTEM_BGC /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MySQL80 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop NetMsmqActivator /y\r\n'%WINDIR%\\syswow64\\net.exe' stop ntrtscan /y\r\n'%WINDIR%\\syswow64\\net.exe' stop OracleClientCache80 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop PDVFSService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop POP3Svc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop ReportServer /y\r\n'%WINDIR%\\syswow64\\net.exe' stop ReportServer$SQL_2008 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop ReportServer$TPS /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLBrowser /y\r\n'%WINDIR%\\syswow64\\net.exe' stop wbengine /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$SBSMONITORING /y\r\n'%WINDIR%\\syswow64\\net.exe' stop tmlisten /y\r\n'%WINDIR%\\syswow64\\net.exe' stop TrueKey /y\r\n'%WINDIR%\\syswow64\\net.exe' stop TrueKeyScheduler /y\r\n'%WINDIR%\\syswow64\\net.exe' stop TrueKeyServiceHelper /y\r\n'%WINDIR%\\syswow64\\net.exe' stop UI0Detect /y\r\n'%WINDIR%\\syswow64\\net.exe' stop VeeamBackupSvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop VeeamBrokerSvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop VeeamCatalogSvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop VeeamDeploymentService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$PROFXENGAGEMENT /y\r\n'%WINDIR%\\syswow64\\net.exe' stop VeeamDeploySvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop VeeamEnterpriseManagerSvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop VeeamHvIntegrationSvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop VeeamMountSvc /y\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 6 of 15\n\n'%WINDIR%\\syswow64\\net.exe' stop VeeamNFSSvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop VeeamRESTSvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop VeeamTransportSvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop W3Svc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop TmCCSF /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQLFDLauncher$SBSMONITORING /y\r\n'%WINDIR%\\syswow64\\net.exe' stop swi_update_64 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$VEEAMSQL2012 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$SHAREPOINT /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$SOPHOS /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$SQL_2008 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$SQLEXPRESS /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$SYSTEM_BGC /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$TPS /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$TPSAMA /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$VEEAMSQL2008R2 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLAgent$PROD /y\r\n'%WINDIR%\\syswow64\\net.exe' stop swi_service /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLSafeOLRService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLSERVERAGENT /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLTELEMETRY /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLTELEMETRY$ECWDB2 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SQLWriter /y\r\n'%WINDIR%\\syswow64\\net.exe' stop SstpSvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop svcGenericHost /y\r\n'%WINDIR%\\syswow64\\net.exe' stop swi_filter /y\r\n'%WINDIR%\\syswow64\\net.exe' stop swi_update /y\r\n'%WINDIR%\\syswow64\\net.exe' stop VeeamCloudSvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQLFDLauncher$PROFXENGAGEMENT /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$PROFXENGAGEMENT /y\r\n'%WINDIR%\\syswow64\\net.exe' stop BackupExecManagementService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop BackupExecRPCService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop BackupExecVSSProvider /y\r\n'%WINDIR%\\syswow64\\net.exe' stop bedbg /y\r\n'%WINDIR%\\syswow64\\net.exe' stop DCAgent /y\r\n'%WINDIR%\\syswow64\\net.exe' stop EhttpSrv /y\r\n'%WINDIR%\\syswow64\\net.exe' stop ekrn /y\r\n'%WINDIR%\\syswow64\\net.exe' stop EPSecurityService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop EraserSvc11710 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop klnagent /y\r\n'%WINDIR%\\syswow64\\net.exe' stop EsgShKernel /y\r\n'%WINDIR%\\syswow64\\net.exe' stop ESHASRV /y\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 7 of 15\n\n'%WINDIR%\\syswow64\\net.exe' stop FA_Scheduler /y\r\n'%WINDIR%\\syswow64\\net.exe' stop IISAdmin /y\r\n'%WINDIR%\\syswow64\\net.exe' stop IMAP4Svc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop KAVFS /y\r\n'%WINDIR%\\syswow64\\net.exe' stop KAVFSGT /y\r\n'%WINDIR%\\syswow64\\net.exe' stop kavfsslp /y\r\n'%WINDIR%\\syswow64\\net.exe' stop BackupExecJobEngine /y\r\n'%WINDIR%\\syswow64\\net.exe' stop EPUpdateService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop BackupExecDeviceMediaService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop \"SQLsafe Backup Service\" /y\r\n'%WINDIR%\\syswow64\\net.exe' stop \"Acronis VSS Provider\" /y\r\n'%WINDIR%\\syswow64\\net.exe' stop \"Enterprise Client Service\" /y\r\n'%WINDIR%\\syswow64\\net.exe' stop \"LanmanServer\" /y\r\n'%WINDIR%\\syswow64\\net.exe' stop \"LanmanWorkstation\" /y\r\n'%WINDIR%\\syswow64\\net.exe' stop \"SQLdmCollectionService$Default\" /y\r\n'%WINDIR%\\syswow64\\net.exe' stop \"SQLdmManagementService$Default\" /y\r\n'%WINDIR%\\syswow64\\net.exe' stop \"SQLdmPredictiveAnalyticsService$Default\" /y\r\n'%WINDIR%\\syswow64\\net.exe' stop \"SQL Backups\" /y\r\n'%WINDIR%\\syswow64\\net.exe' stop \"SQLsafe Filter Service\" /y\r\n'%WINDIR%\\syswow64\\net.exe' stop BackupExecAgentAccelerator /y\r\n'%WINDIR%\\syswow64\\net.exe' stop \"Symantec System Recovery\" /y\r\n'%WINDIR%\\syswow64\\net.exe' stop \"Veeam Backup Catalog Data Service\" /y\r\n'%WINDIR%\\syswow64\\net.exe' stop \"Zoolz 2 Service\" /y\r\n'%WINDIR%\\syswow64\\net.exe' stop AcronisAgent /y\r\n'%WINDIR%\\syswow64\\net.exe' stop AcrSch2Svc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop Antivirus /y\r\n'%WINDIR%\\syswow64\\net.exe' stop ARSM /y\r\n'%WINDIR%\\syswow64\\net.exe' stop AVP /y\r\n'%WINDIR%\\syswow64\\net.exe' stop BackupExecAgentBrowser /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MMS /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$VEEAMSQL2012 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MBAMService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSOLAP$SYSTEM_BGC /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSOLAP$TPS /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSOLAP$TPSAMA /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$BKUPEXEC /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$ECWDB2 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$PRACTICEMGT /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$PRACTTICEBGC /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$PROD /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$SBSMONITORING /y\r\n'%WINDIR%\\syswow64\\net.exe' stop masvc /y\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 8 of 15\n\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$SHAREPOINT /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$SOPHOS /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$SQL_2008 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$SQLEXPRESS /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$SYSTEM_BGC /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$TPS /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$TPSAMA /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQL$VEEAMSQL2008R2 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSOLAP$SQL_2008 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSSQLFDLauncher /y\r\n'%WINDIR%\\syswow64\\net.exe' stop msftesql$PROD /y\r\n'%WINDIR%\\syswow64\\net.exe' stop mfevtp /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MBEndpointAgent /y\r\n'%WINDIR%\\syswow64\\net.exe' stop McAfeeEngineService /y\r\n'%WINDIR%\\syswow64\\net.exe' stop McAfeeFramework /y\r\n'%WINDIR%\\syswow64\\net.exe' stop McAfeeFrameworkMcAfeeFramework /y\r\n'%WINDIR%\\syswow64\\net.exe' stop McShield /y\r\n'%WINDIR%\\syswow64\\net.exe' stop McTaskManager /y\r\n'%WINDIR%\\syswow64\\net.exe' stop mfefire /y\r\n'%WINDIR%\\syswow64\\net.exe' stop mfemms /y\r\n'%WINDIR%\\syswow64\\net.exe' stop macmnsvc /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSExchangeSA /y\r\n'%WINDIR%\\syswow64\\net.exe' stop mozyprobackup /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MsDtsServer /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MsDtsServer100 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MsDtsServer110 /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSExchangeES /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSExchangeIS /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSExchangeMGMT /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSExchangeMTA /y\r\n'%WINDIR%\\syswow64\\net.exe' stop MSExchangeSRS /y\r\n'%WINDIR%\\syswow64\\net.exe' stop WRSVC /y\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 9 of 15\n\n➤ Среди завершенных процессов есть антивирусные программы:\r\nKaspersky\r\nSymantec\r\nMcAfee\r\nи другие\r\nВсвязи с этим PwndLocker можно назвать анти-антивирусным вредоносным ПО. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nВероятно все или почти все файлы, кроме тех, что находится в пропускаемых директориях. \r\nЭто могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии,\r\nмузыка, видео, файлы образов, архивы и пр.\r\n➤ При шифровании пропускаются некоторые директории:\r\nWindows\r\nWindows Defender\r\nWindows Mail\r\nWindows Media Player\r\nWindows NT\r\nWindows Photo Viewer\r\nWindows Portable Devices\r\nWindows Sidebar\r\nWindowsApps\r\nWindowsPowerShell\r\n$Recycle.Bin (Recycle.Bin)\r\nAdobe\r\nAll Users\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 10 of 15\n\nCommon Files\r\nDVD Maker\r\nInternet Explorer\r\nKaspersky Lab\r\nKaspersky Lab Setup Files\r\nMicrosoft\r\nMicrosoft\r\nMicrosoft\r\nMicrosoft.NET\r\nMicrosoft_Corporation\r\nMozilla Firefox\r\nMSBuild\r\nPackages\r\nPerfLogs\r\nSystem Volume Information\r\nTemp\r\nUninstall Information\r\n➤ При шифровании пропускаются следующие типы файлов:\r\n.bac, .bak, .bat, .bkf, .chm, .cmd, .dll, .dsk, .exe, .hlf, .ico, .inf, .ini, .lng, .lnk, .msi, .set, .sys, .ttf, .vhd, .wbc, .win\r\n(22 расширения). \r\nСписок может различаться в зависимости от версии. \r\nФайлы, связанные с этим Ransomware:\r\nH0w_T0_Rec0very_Files.txt - название текстового файла\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\ncontoso.cer\r\ncontoso_1.cer\r\ncontosoroot.cer\r\ncorrect.avi\r\ndashborder_XXX.bmp  (где XXX - случайное число)\r\ndefault.bmp\r\ndelete.avi\r\ndialmap.bmp\r\nholycrosschurchinstructions.docx\r\nsdkfailsafeemulator.cer\r\ntestee.cer\r\nsdszfo.docx\r\nsplit.avi\r\nlock.xml\r\n[Использование некоторых файлов из этого набора описано Dr.Web в статьях\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 11 of 15\n\nо Win32.HLLW.Autoruner2.50916, Win32.HLLW.Autoruner2.52382]\r\nНабор файлов, видимо, зависит от версии вредоноса, конфигурации атакуемой компьютерной сети и\r\nнекоторых других нераскрываемых \"элементов\". \r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nX:\\ -\u003e (X - любое имя локального или внешнего диска)\r\nC:\\Programdata\\lock.xml\r\nЗаписи реестра, связанные с этим Ransomware:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: не был показан\r\nBTC: не был показан\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e  VT\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 12 of 15\n\nОбновление от 9-12 декабря 2020: \r\nПост в Твиттере \u003e\u003e\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .key\r\nЗаписка: H0w_T0_Rec0very_Files.txt\r\nTor-URL: ax3spapdymip4jpy.onion\r\nРезультаты анализов: VT\r\nОбновление от 24 февраля 2020:\r\nРасширение: .pwnd\r\nЗаписка: H0w_T0_Rec0very_Files.txt\r\nEmail: help0f0ry0u@protonmail.com \r\nTor-URL: ax3spapdymip4jpy.onion\r\n \r\nРезультаты анализов: VT + HA + AR + IA\r\nОбнаружения:\r\nALYac -\u003e Trojan.Ransom.PwndLocker\r\nAvira (no cloud) -\u003e TR/Crypt.XPACK.Gen\r\nBitDefender -\u003e Trojan.Peed.Gen\r\nDrWeb -\u003e Trojan.Siggen9.16872, Trojan.Encoder.31166\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.PwndLocker.A\r\nFortinet -\u003e W32/Pwnd.B!tr.ransom\r\nGData -\u003e Win32.Trojan-Ransom.PwndLocker.A\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 13 of 15\n\nKaspersky -\u003e Trojan-Ransom.Win32.Pwnd.b\r\nMalwarebytes -\u003e Ransom.PwndLocker\r\nMcAfee -\u003e Downloader-AE\r\nMicrosoft -\u003e Trojan:Win32/Occamy.C\r\nRising -\u003e Spyware.POSCardStealer!8.644 (CLOUD)\r\nSophos AV -\u003e Mal/Generic-S\r\nSymantec -\u003e Trojan.Gen.MBT\r\nTencent -\u003e Win32.Trojan.Filecoder.Dzag\r\nTrendMicro -\u003e TROJ_FRS.0NA104C220\r\nVBA32 -\u003e TrojanRansom.Pwnd\r\nОбновление от 2 марта 2020:\r\nСтатья на сайте BleepingComputer (анализ образца 9-12 декабря 2019) \u003e\u003e\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\nВы можете заказать индивидуальную расшифровку в Emsisoft.\r\nДля этой перейдите на сайт Emsisoft по ссылке \u003e\u003e\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as PwndLocker)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n MalwareHunterTeam, Michael Gillespie\r\n Andrew Ivanov (author)\r\n BYEMAN, BleepingComputer\r\n to the victims who sent the samples\r\n \r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 14 of 15\n\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: https://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html\r\nPage 15 of 15",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2019/10/pwndlocker-ransomware.html"
	],
	"report_names": [
		"pwndlocker-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434688,
	"ts_updated_at": 1775826681,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/c517716db0d26bf3935ab9ee42e1f5e2acea145a.pdf",
		"text": "https://archive.orkl.eu/c517716db0d26bf3935ab9ee42e1f5e2acea145a.txt",
		"img": "https://archive.orkl.eu/c517716db0d26bf3935ab9ee42e1f5e2acea145a.jpg"
	}
}