Otkriven ransomware PokemonGO za Windows

Opisi virusa, 17.08.2016, 08:00 AM

Bilo je samo pitanje vremena kada će PokemonGo biti iskorišćen da bi se napravio ransomware koji će iskoristiti veliko interesovanje ljudi za ovu igru.

Upravo je to uradio autor novootkrivenog ransomwarea PokemonGO (Hidden-Tear) koga je otkrio Majkl Gilespi, a koji se predstavlja kao aplikacija PokemonGO za Windows. Ransomware se širi kao fajl PokemonGo.exe, sa ikonom simpatičnog Pikačua. Klik na ovaj exe fajl započinje proces enkripcije.

Inače, ovaj ransomware je baziran na projektu Hidden Tear, ransomwareu otvorenog koda koji je objavljen prošle godine.

Na prvi pogled, infekcija ransomwarom PokemonGO izgleda kao i infekcija bilo kojim drugim ransomwareom. On na hard disku traži fajlove sa sledećim ekstenzijama: .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .htm, .gif, .png.

Pokemon GO koristi AES enkripciju za šifrovanje fajlova, a svakom šifrovanom fajlu dodaje ekstenziju .locked.

Kada završi sa šifrovanjem fajlova PokemonGO prikazuje obaveštenje o otkupu u kome se od žrtve traži da kontaktira autora emailom koji treba da pošalje na email adresu me.blackhat20152015@mt2015.com da bi dobila uputstvo za plaćanje.

Međutim, to nije sve.

Autoru malvera nije bilo dovoljno to što je napravio kripto-ransomware, već je uložio dodatno vreme i napor da bi malver imao i neke druge funkcije koje nemaju drugi kripto-ransomwarei. Tako PokemonGO dodaje backdoor nalog na zaraženom Windows računaru tako da autor malvera može kasnije da pristupa računaru.

To nije ono što radi ransomwarei. Većina njih šifruje fajlove, briše samog sebe i prikazuje obaveštenje o otkupu. Autori ovakvih malvera imaju jedan cilj: da šifrovanjem fajlova nateraju žrtve da plate otkup. Većina ransomwarea ne želi da ostavi bilo kakakv trag osim obaveštenja o otkupu.

PokemonGO se ponaša malo drugačije dodajući backdoor nalog na Windowsu.

Kada se instalira, ransomware kreira korisnički nalog Hack3 i zatim ga sakriva ovaj nalog tako da se on ne vidi na Windows login ekranu.

Da bi preživeo restartovanje računara, ransomware se kopira na svim hard diskovima, ali i na prenosivim diskovima. On kreira i Autorun.inf fajl da bi se pokrenuo svaki put kada se ubaci prenosivi disk u računar.

Bezbednosni istraživači su uvereni da je ransomware još uvek u fazi razvoja. Kako sada stvari stoje, namenjen je arapskim korisnicima, sudeći po obaveštenju i screensaveru koje malver prikazuje a koje je na arapskom. Autor ransomwarea je verovatno iz Alžira sudeći po statičkoj AES lozinki (“123vivalalgerie”), kao i po tome što koristi arapski i francuski jezik u ransomwareu.