Otkriven ransomware PokemonGO za Windows

Opisi virusa, 17.08.2016, 08:00 AM

Otkriven ransomware PokemonGO za Windows

Bilo je samo pitanje vremena kada će PokemonGo biti iskorišćen da bi se napravio ransomware koji će iskoristiti veliko interesovanje ljudi za ovu igru.

Upravo je to uradio autor novootkrivenog ransomwarea PokemonGO (Hidden-Tear) koga je otkrio Majkl Gilespi, a koji se predstavlja kao aplikacija PokemonGO za Windows. Ransomware se širi kao fajl PokemonGo.exe, sa ikonom simpatičnog Pikačua. Klik na ovaj exe fajl započinje proces enkripcije.

Inače, ovaj ransomware je baziran na projektu Hidden Tear, ransomwareu otvorenog koda koji je objavljen prošle godine.

Na prvi pogled, infekcija ransomwarom PokemonGO izgleda kao i infekcija bilo kojim drugim ransomwareom. On na hard disku traži fajlove sa sledećim ekstenzijama: .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .htm, .gif, .png.

Pokemon GO koristi AES enkripciju za šifrovanje fajlova, a svakom šifrovanom fajlu dodaje ekstenziju .locked.

Kada završi sa šifrovanjem fajlova PokemonGO prikazuje obaveštenje o otkupu u kome se od žrtve traži da kontaktira autora emailom koji treba da pošalje na email adresu me.blackhat20152015@mt2015.com da bi dobila uputstvo za plaćanje.

Međutim, to nije sve.

Autoru malvera nije bilo dovoljno to što je napravio kripto-ransomware, već je uložio dodatno vreme i napor da bi malver imao i neke druge funkcije koje nemaju drugi kripto-ransomwarei. Tako PokemonGO dodaje backdoor nalog na zaraženom Windows računaru tako da autor malvera može kasnije da pristupa računaru.

To nije ono što radi ransomwarei. Većina njih šifruje fajlove, briše samog sebe i prikazuje obaveštenje o otkupu. Autori ovakvih malvera imaju jedan cilj: da šifrovanjem fajlova nateraju žrtve da plate otkup. Većina ransomwarea ne želi da ostavi bilo kakakv trag osim obaveštenja o otkupu.

PokemonGO se ponaša malo drugačije dodajući backdoor nalog na Windowsu.

Kada se instalira, ransomware kreira korisnički nalog Hack3 i zatim ga sakriva ovaj nalog tako da se on ne vidi na Windows login ekranu.

Da bi preživeo restartovanje računara, ransomware se kopira na svim hard diskovima, ali i na prenosivim diskovima. On kreira i Autorun.inf fajl da bi se pokrenuo svaki put kada se ubaci prenosivi disk u računar.

Bezbednosni istraživači su uvereni da je ransomware još uvek u fazi razvoja. Kako sada stvari stoje, namenjen je arapskim korisnicima, sudeći po obaveštenju i screensaveru koje malver prikazuje a koje je na arapskom. Autor ransomwarea je verovatno iz Alžira sudeći po statičkoj AES lozinki (“123vivalalgerie”), kao i po tome što koristi arapski i francuski jezik u ransomwareu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje

Novi malver za Mac se širi preko rezultata Google pretrage

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare. Malver nazvan OSX/CrescentCore, je trojanac, a prime... Dalje

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Istraživači iz kompanije BitDefender objavili su ažuriranu verziju alata za dešifrovanje fajlova koje je šifrovao ransomware GandCrab, koji bi mo... Dalje

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajl... Dalje

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Istraživači kompanije Kaspersky Lab otkrili su novi malver koji se širi preko sajta Pirate Bay, jednog od najpopularnijih sajtova za preuzimanje to... Dalje