Pratite nas preko RSS-aOtkriven ransomware PokemonGO za Windows
Opisi virusa, 17.08.2016, 08:00 AM
Bilo je samo pitanje vremena kada će PokemonGo biti iskorišćen da bi se napravio ransomware koji će iskoristiti veliko interesovanje ljudi za ovu igru.
Upravo je to uradio autor novootkrivenog ransomwarea PokemonGO (Hidden-Tear) koga je otkrio Majkl Gilespi, a koji se predstavlja kao aplikacija PokemonGO za Windows. Ransomware se širi kao fajl PokemonGo.exe, sa ikonom simpatičnog Pikačua. Klik na ovaj exe fajl započinje proces enkripcije.
Inače, ovaj ransomware je baziran na projektu Hidden Tear, ransomwareu otvorenog koda koji je objavljen prošle godine.
Na prvi pogled, infekcija ransomwarom PokemonGO izgleda kao i infekcija bilo kojim drugim ransomwareom. On na hard disku traži fajlove sa sledećim ekstenzijama: .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .htm, .gif, .png.
Pokemon GO koristi AES enkripciju za šifrovanje fajlova, a svakom šifrovanom fajlu dodaje ekstenziju .locked.
Kada završi sa šifrovanjem fajlova PokemonGO prikazuje obaveštenje o otkupu u kome se od žrtve traži da kontaktira autora emailom koji treba da pošalje na email adresu me.blackhat20152015@mt2015.com da bi dobila uputstvo za plaćanje.
Međutim, to nije sve.
Autoru malvera nije bilo dovoljno to što je napravio kripto-ransomware, već je uložio dodatno vreme i napor da bi malver imao i neke druge funkcije koje nemaju drugi kripto-ransomwarei. Tako PokemonGO dodaje backdoor nalog na zaraženom Windows računaru tako da autor malvera može kasnije da pristupa računaru.
To nije ono što radi ransomwarei. Većina njih šifruje fajlove, briše samog sebe i prikazuje obaveštenje o otkupu. Autori ovakvih malvera imaju jedan cilj: da šifrovanjem fajlova nateraju žrtve da plate otkup. Većina ransomwarea ne želi da ostavi bilo kakakv trag osim obaveštenja o otkupu.
PokemonGO se ponaša malo drugačije dodajući backdoor nalog na Windowsu.
Kada se instalira, ransomware kreira korisnički nalog Hack3 i zatim ga sakriva ovaj nalog tako da se on ne vidi na Windows login ekranu.
Da bi preživeo restartovanje računara, ransomware se kopira na svim hard diskovima, ali i na prenosivim diskovima. On kreira i Autorun.inf fajl da bi se pokrenuo svaki put kada se ubaci prenosivi disk u računar.
Bezbednosni istraživači su uvereni da je ransomware još uvek u fazi razvoja. Kako sada stvari stoje, namenjen je arapskim korisnicima, sudeći po obaveštenju i screensaveru koje malver prikazuje a koje je na arapskom. Autor ransomwarea je verovatno iz Alžira sudeći po statičkoj AES lozinki (“123vivalalgerie”), kao i po tome što koristi arapski i francuski jezik u ransomwareu.
Izdvojeno
Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay
Istraživači kompanije Kaspersky Lab otkrili su novi malver koji se širi preko sajta Pirate Bay, jednog od najpopularnijih sajtova za preuzimanje to... Dalje
Ransomware GarrantyDecrypt se pretvara da štiti vaše fajlove
Pojavila se najnovija verzija ransomwarea GarrantyDecrypt, ransomwarea koga je otkrio istraživač Majkl Gilespi u oktobru 2018. godine. Iako nikada n... Dalje
Malver Rietspoof se širi preko Skypea i Facebook Messengera
Do avgusta prošle godine malver Rietspoof cirkulisao je internetom neprimećen. Onda su ga otkrili istraživači Avasta koji sada upozoravaju na eksp... Dalje
Linux malver uklanja druge malvere sa sistema, a evo zbog čega to radi
Majneri kripto-valuta postali su novi standard u svetu malvera, a nove verzije postaju sve složenije, jer su u mogućnosti da efikasnije sakriju svo... Dalje
Windows .exe malver cilja Mac računare
Maliciozni Windows EXE fajl može zaraziti i vaš Mac računar. Da, dobro ste pročitali - .exe malver na macOS-u. Istraživači kompanije Trend Micro... Dalje