Powerlocker, también llamado PrisonLocker, es una  nueva familia de ransomware que prometía junto con el cifrado de ficheros en la máquina infectada (común al resto decifradores) bloquear el uso del equipo por parte del usuario hasta el pago del rescate (como el virus de la policía).

Aunque la idea de unir las dos técnicas ha podido provocar pesadillas a más de uno, en este caso el malware se ha quedado en un prototipo. El autor del malware, durante su desarrollo, fue publicando varios post en foros y blogs comentando avances en su creación  y explicando las diferentes técnicas que estaba incluyendo en su código.

Según comenta el autor en este comentario, el powerlocker es un ransomware escrito en c/c++ que cifra ficheros en la máquina infectada y bloquea la pantalla, pidiendo un rescate.

El malware,  implementa el proceso de cifrado, que podríamos considerar estándar en este tipo de malware.  Utiliza blowfish como algoritmo de cifrado, con una clave única por cada fichero a cifrar. Y almacena cada clave única generada con  un algoritmo de clave publica-privada 2048.  Con lo que únicamente el poseedor de la clave privada puedes descifrar todos los ficheros.

Además, según el autor del ransom,  Powerlocker implementa características antidebug, antiemulación, antisandbox y también deshabilita herramientas como el administrador de tareas, el editor de registro o la ventana de línea de comandos.

Sin embargo, toda esta publicidad que el autor del malware ha hecho en foros y blogs del Powerlocker antes de liberarlo, ha derivado en la detención del mismo en Florida, motivo por el cual a día de hoy, no se dispone de ninguna versión definitiva de este malware y no hay constancia de que pueda estar in-the-wild.

A pesar esto,  hemos considerado interesante realizar un análisis de la versión actual del Powerlocker , debido a que no se puede descartar que alguien más pudiera poseer una copia de los fuentes o incluso una versión posterior del Powerlocker.

 

Análisis del Powerlocker

Lo primero que hace el Powerlocker es comprobar si ya están creados dos ficheros con las claves RSA, si no están creados, genera la clave pubilca y privada para volcarlas en dos ficheros  de disco (pubkey.bin y privkey.bin)

A diferencia de otros ransomware, que utilizan el servicio de crytoapi que incorpora Windows. Powerlocker utiliza la librería openssl , para la generación de claves y el cifrado de ficheros.

Tras la obtención de las claves, el Powerlocker realiza un recorrido recursivo de directorios en busca de ficheros a cifrar, excluyendo -de manera no muy eficaz- los ficheros con alguno de los nombres que utiliza: privkey.bin, pubkey.bin, countdown.txt, cryptedcount.txt. También evita ficheros $recycle.bin,.rans, .exe, .dll, .ini, .vxd o .drv para evitar causar daños irreparables en el equipo. Sin embargo el autor ha olvidado excluir extensiones bastantes delicadas para el correcto funcionamiento del equipo, como por ejemplo la .sys.  Es decir, un equipo infectado con Powelocker sería incapaz de reiniciar.

Además, en esta versión de debug,  es posible mediante un parámetro controlar si el ransom va a cifrar ficheros o a descifrarlos utilizando las claves pubkey.bin y privkey.bin que ha generado previamente al inicio de la ejecución.

Esta versión de debug no incorpora el bloqueo de pantalla anunciado por el creador del malware, sino que muestra una consola por la que escribe mensajes de depuración, nombres de ficheros que se van a cifrar/descifrar, etc… así como solicita que se pulse una tecla antes de realizar cada cifrado / descifrado.

 

Conclusiones

Solamente se dispone de una versión a medio hacer del Powerlocker, totalmente inacabada que incluso casi podríamos calificar de inofensiva, en la que no existe ni rastro de muchas de las características más importantes que comentaba el autor en los diferentes foros y blogs que frecuentaba: técnicas antidebug, bloqueo de pantalla, etc.

A pesar de que no es totalmente funcional recomendamos tener un sistema de backup de nuestros ficheros críticos, lo que nos garantizará, no sólo cubrirnos ante problemas de hardware, sino que en caso de infección por malware de este tipo podamos mitigar el daño causado.

Además recordamos que, si no tenemos de backup y nos hemos infectado, no recomendamos el pago del rescate ya que es una forma de incentivar que se sigan perpetrando este tipo de delitos.

Análisis del PowerLocker realizado por Javier Vicente