Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op computerworld.nl. Dit vinden wij jammer, want computerworld.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor computerworld.nl door deze te whitelisten?
!
Welkom op computerworld.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
  •  
  •  
0 Reacties Bewaren
Malafide Pikachu

Ransomware doet alsof het Pokémon Go is

Criminelen experimenteren met nieuwe snufjes malware.

Dit moet geen verrassing zijn: criminelen die de populariteit van Pokémon Go gebruiken om malware te verspreiden. Interessanter is dat ze nieuwe methodes hanteren die ons binnenkort parten gaan spelen.

Michael Gillespie vond een versie gebaseerd op Hidden Tear, die zich voordoet als Pokémon Go op Windows Phone - het platform dat verstoken is van de populaire AR-game. Bleeping Computer legt uit dat de ontwikkelaar van de malware extra tijd heeft besteed aan het toevoegen van features die je nauwelijks - of zelfs niet - in andere ransomware vindt.

Malware maakt aanpassingen

Dit is dus een ontwikkelde versie die we ongetwijfeld vaker gaan zien. Niet in de minste plaatst voegt de malware een user-account toe die is toegevoegd aan Administrator. Het register wordt aangepast zodat de backdoor-account 'Hack3r' niet te zien is op het Windows-inlogscherm. Ook wordt er een netwerkstation toegevoegd aan de pc van het slachtoffer.

Verder kopieert de ransomware zijn executable naar alle gevonden drives. Als dat is gebeurd, wordt bij verwisselbare schijven een autorun-bestand aangemaakt waarmee de malware wordt gestart elke keer dat het verwisselbare medium wordt gekoppeld. Voor vaste schijven wordt de executable naar de root gekopieerd, zodat de Pokémon Go-ransomware wordt gestart na het inloggen in Windows.

Meer experimentatie

Deze ransomware is nog volop in ontwikkeling: het heeft een statische AES-sleutel van ' 123vivalalgerie' en de C&C-server heeft een IP-adres uit de private range, wat inhoudt dat de malware geen verbinding legt via internet. Die arme Pikachu wordt misbruikt om als screensaver te dienen bij het losgeldbericht, dat momenteel enkel in het Arabisch is. Volgens Bleeping Computer bevat het ook een afbeelding met Sans Titre, zonder titel in het Frans - mogelijk een hint naar waar de ontwikkelaar vandaan komt.

Er duiken meer van dit soort ransomware-experimenten op. De ransomware Hitler telt af en wil 25 euro, maar als de teller nul bereikt worden alle bestanden in UserProfile-map gewist. Verder is er Android-ransomware die een kat plaatst op het ontgrendelingsscherm. Deze malware kan sms'jes versturen, de sd-kaart versleutelen en heeft botnet-features. Onderzoekers vermoeden dat ook dit een demoversie is.

Mevrouw Smit - niet haar echte naam - is programmeur met specifieke interesse in IT -privacy en security. Daarnaast is ze freelance schrijfster.

Relevante profielen

Bekijk alle CIO-profielen »
Bekijk alle CXO-profielen »

Oudste boven ▾ Reacties

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Er zijn nog geen reacties.

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview