суббота, 13 августа 2016 г.

PokemonGO

PokemonGO Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, но никакой привычной в биткоинах суммы выкупа не сообщает, чтобы вернуть файлы обратно. Название происходит от популярной игры для мобильных устройств, персонажа из которой вымогатели используют. К зашифрованным файлам добавляется расширение .locked. Ориентирован на арабских пользователей. 

© Генеалогия: Hidden Tear >> PokemonGO

  Записка с требованием выкупа называется: هام جدا.txt ("Очень важно" на арабском).

Содержание записки о выкупе: 
(: لقد تم تشفير ملفاتكم، لفك الشفرة فلكسي موبيليس للعنوان التالي me.blackhat20152015@mt2015.com وشكرا على كرمكم مسبقا 

Перевод записки на русский язык (Google Translation): 
(: Ваши файлы были зашифрованы, дешифровка Falaksa Mobilis на следующий адрес me.blackhat20152015@mt2015.com и заранее благодарим вас за вашу щедрость.

Вымогатель использует значок покемон-персонажа Pikachu.

Этот криптовымогатель также устанавливает в систему скринсейвер (заставку), которая демонстрирует Пикачу на чёрном экране с надписью на арабском языке. Кажется это первый случай использования вымогателями собственной заставки вместо обоев. Видимо, покемоны очень популярны в арабских странах. Никогда бы не подумал. :)

Распространяется с помощью загружаемых инфицированных файлов. Добавляется в Автозагрузку системы, чтобы запускаться при каждом входе пользователя в систему. Также создается учетная запись нового пользователя Hack3r (типа: хакер) с правами администратора. 
Затем он скрывает эту учетную запись от просмотра на экране входа в Windows, путем внесения изменения в реестре: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList "Hack3r" = 0

PokemonGo пытается распространить себя путем копирования исполняемого файла на все съёмные диски. Для этого он создает файл Autorun.inf, чтобы вымогатель запускался каждый раз, когда кто-то вставляет съемный диск в ПК. Содержимое этого файла Autorun.inf следующее:
[AutoRun]
OPEN=PokemonGo.exe
ICON=PokemonGo.exe

PokemonGo также копирует исполняемый файл в корневой каталог каждого локального диска и устанавливает запись автозапуска с именем PokemonGo, чтобы запускать его, когда пользователь входит в систему Windows.

Вероятно, вымогатель является тестовым или недоработанным вариантом. В частности, об этом говорит использование статического AES-ключа 123vivalalgerie. Название этого ключа содержит фразу "vivalalgerie" (Виват Алжир), что указывает на алжирское происхождение разработчика криптовымогателя. В релизном варианте Pokemon-вымогатель будет генерировать произвольный ключ и загружать его на C&C-сервер своего разработчика. Расширенный анализ

Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .csv, .doc, .docx, .gif, .htm, .html, .jpg, .mdb, .mht, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rtf,  .sln, .sql, .txt, .xls, .xlsx, .xml (25 расширений). 

Файлы, связанные с Ransomware: 
 C:\Users\User_name\Desktop\pk - (пароль)
 C:\Users\User_name\Desktop\هام جدا.txt - (записка о выкупе)
 %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[random].exe     PokemonGo.exe  - (случайное название для этого экземпляра).

Записи реестра, связанные с Ransomware: 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PokemonGo"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\Hack3r


Степень распространённости: низкая. 
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *