Mit PCLock tauchte Anfang dieses Jahres eine Ransomware auf, die sich einfacher knacken ließ. Der Schadcode nutzte eine einfache XOR-Verschlüsselungsroutine mit einem fest hinterlegten, statischen Schlüssel. Deshalb ließen sich auch die chiffrierten Dateien recht einfach wiederherstellen.
Unit 42, das Forschungszentrum von Palo Alto Networks, hat die Ransomware genauer unter die Lupe genommen. Im August 2015 tauchte nämlich eine verbesserte Version von PCLock auf. Um sie von der alten Version abzugrenzen, bezeichnen die Forscher von Palo Alto Networks die aktuelle Version als PCLock2.
Im Rahmen der Analyse wollte Unit 42 herausfinden, ob sich PCLock2 mittlerweile mit anderer Ransomware messen kann. Bei der erstmaligen Aktivierung führt PClock2 einen sehr einfachen Anti-Analyse-Check durch, um das Opfersystem nach Sandbox-Systemen abzusuchen. Außerdem prüft der Schadcode, ob er mit Administratorrechten ausgeführt wird.
Nach diesen Eingangs-Checks sendet die Malware das Ergebnis über eine HTTP-POST-Anforderung an einen Remote-Server. Alle über HTTP-POST-Anfragen laufenden Daten werden als Klartext gesendet. Zu den Verbesserungen gehört, dass mehrere Dateitypen hinzugefügt wurden, wobei bestimmte Verzeichnisse ignoriert werden, zudem kommt eine bessere Verschlüsselungsroutine zum Einsatz.
Momentan lässt sich die Malware-Familie aber verhältnismäßig einfach aufspüren: PCLock2 benötigt mehr als 20 Minuten Laufzeit, um sich zu vervollständigen und versendet über 1.000 HTTP-POST-Anfragen. Es mangelt also momentan insbesondere an Verbergungstechniken. Außerdem ist der Schadcode auf Benutzereingaben angewiesen, die mithilfe von Dialog-Pop-ups eingefordert werden.