Otkriven ransomware PokemonGO za Windows

Opisi virusa, 17.08.2016, 08:00 AM

Otkriven ransomware PokemonGO za Windows

Bilo je samo pitanje vremena kada će PokemonGo biti iskorišćen da bi se napravio ransomware koji će iskoristiti veliko interesovanje ljudi za ovu igru.

Upravo je to uradio autor novootkrivenog ransomwarea PokemonGO (Hidden-Tear) koga je otkrio Majkl Gilespi, a koji se predstavlja kao aplikacija PokemonGO za Windows. Ransomware se širi kao fajl PokemonGo.exe, sa ikonom simpatičnog Pikačua. Klik na ovaj exe fajl započinje proces enkripcije.

Inače, ovaj ransomware je baziran na projektu Hidden Tear, ransomwareu otvorenog koda koji je objavljen prošle godine.

Na prvi pogled, infekcija ransomwarom PokemonGO izgleda kao i infekcija bilo kojim drugim ransomwareom. On na hard disku traži fajlove sa sledećim ekstenzijama: .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .htm, .gif, .png.

Pokemon GO koristi AES enkripciju za šifrovanje fajlova, a svakom šifrovanom fajlu dodaje ekstenziju .locked.

Kada završi sa šifrovanjem fajlova PokemonGO prikazuje obaveštenje o otkupu u kome se od žrtve traži da kontaktira autora emailom koji treba da pošalje na email adresu [email protected] da bi dobila uputstvo za plaćanje.

Međutim, to nije sve.

Autoru malvera nije bilo dovoljno to što je napravio kripto-ransomware, već je uložio dodatno vreme i napor da bi malver imao i neke druge funkcije koje nemaju drugi kripto-ransomwarei. Tako PokemonGO dodaje backdoor nalog na zaraženom Windows računaru tako da autor malvera može kasnije da pristupa računaru.

To nije ono što radi ransomwarei. Većina njih šifruje fajlove, briše samog sebe i prikazuje obaveštenje o otkupu. Autori ovakvih malvera imaju jedan cilj: da šifrovanjem fajlova nateraju žrtve da plate otkup. Većina ransomwarea ne želi da ostavi bilo kakakv trag osim obaveštenja o otkupu.

PokemonGO se ponaša malo drugačije dodajući backdoor nalog na Windowsu.

Kada se instalira, ransomware kreira korisnički nalog Hack3 i zatim ga sakriva ovaj nalog tako da se on ne vidi na Windows login ekranu.

Da bi preživeo restartovanje računara, ransomware se kopira na svim hard diskovima, ali i na prenosivim diskovima. On kreira i Autorun.inf fajl da bi se pokrenuo svaki put kada se ubaci prenosivi disk u računar.

Bezbednosni istraživači su uvereni da je ransomware još uvek u fazi razvoja. Kako sada stvari stoje, namenjen je arapskim korisnicima, sudeći po obaveštenju i screensaveru koje malver prikazuje a koje je na arapskom. Autor ransomwarea je verovatno iz Alžira sudeći po statičkoj AES lozinki (“123vivalalgerie”), kao i po tome što koristi arapski i francuski jezik u ransomwareu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje

Novi opasni ransomware briše sadržaj fajlova na uređajima

Novi opasni ransomware briše sadržaj fajlova na uređajima

Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje

Malver Acreed: nova zvezda na crnom sajber-tržištu

Malver Acreed: nova zvezda na crnom sajber-tržištu

Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje