این بدافزار برای رمزنگاری فایل ها از یک الگوریتم رمزنگاری با کلیدهای منحصر به فرد برای هر فایل رمزگذاری شده استفاده می کند بنابراین تنها دارندهی این کلیدها قادر خواهد بود آنها را بگشاید. علاوه بر این، خالق PowerLocker از ابزارهای anti – sandbox و anti VM استفاده می کند و عملکرد آن بسیار شبیه به عملکرد task Manager و ریجستری است که مانند یک پنجره بسیار عادی ویندوز نمایش داده می شود و به راحتی هر کاربری را به اشتباه می اندازد.
براساس نتایج به دست آمده از تحقیقات محققان امنیتی آزمایشگاه پاندا سکیوریتی در مورد گسترش این بدافزار اعلام شده است که این بدافزار کار خود را از ایالت متحده امریکا شروع کرده و حتما درحال گسترش به سایر قاره ها و کشورها است.
عملکرد PowerLocker:
اولین اقدامی که PowerLocker انجام می دهد بررسی فایل هایی است که قبلاً توسط کلیدهای RSA ایجاد شده است. برخلاف دیگر نمونه بدافزارهای باج گیر که از خدمات CrytoAPI ویندوز استفاده می کند، Powerlocker برای تولید کلیدها و رمزگذاری فایل ها از منابع SSL استفاده می کند.
به محض اینکه قربانی این بدافزار را بر روی سیستم خود اجرا می کند، بدافزار شروع به رمزگذاری فایل ها می کند، این بدافزار فایل هایی با پسوندهایی مانندprivkey.bin, pubkey.bin, countdown.txt, cryptedcount.txt. It also avoids $recycle.bin, .rans, .exe, .dll, .ini, .vxd را رمزگذاری می کنند. همچنین این بدافزار با حذف پسوند فایل ها، عملکرد سیستم را دچار مشکل می کند به طوریکه هر سیستم آلوده به این بدافزار قادر به راه اندازی مجدد نخواهد بود.
محققان امنیتی آزمایشگاه پانداسکیوریتی به همه کاربران توصیه می کنند در صورتیکه به این بدافزارها آلوده شوید راهی برای مقابله با آنها وجود ندارد. این بدافزارها آن قدر قدرتمندند که به راحتی می توانند فایل ها و سیستم قربانی را قفل کنند و کاری هم از دست قربانی برنمیآید. در چنین شرایطی بهترین روش پیشگیری از آلودگی استفاده از یک ضدویروس به روز و مطمئن است.
