Michael Gillespie vond een versie gebaseerd op Hidden Tear, die zich voordoet als Pokémon Go op Windows Phone - het platform dat verstoken is van de populaire AR-game. Bleeping Computer legt uit dat de ontwikkelaar van de malware extra tijd heeft besteed aan het toevoegen van features die je nauwelijks - of zelfs niet - in andere ransomware vindt.
Malware maakt aanpassingen
Dit is dus een ontwikkelde versie die we ongetwijfeld vaker gaan zien. Niet in de minste plaatst voegt de malware een user-account toe die is toegevoegd aan Administrator. Het register wordt aangepast zodat de backdoor-account 'Hack3r' niet te zien is op het Windows-inlogscherm. Ook wordt er een netwerkstation toegevoegd aan de pc van het slachtoffer.
Verder kopieert de ransomware zijn executable naar alle gevonden drives. Als dat is gebeurd, wordt bij verwisselbare schijven een autorun-bestand aangemaakt waarmee de malware wordt gestart elke keer dat het verwisselbare medium wordt gekoppeld. Voor vaste schijven wordt de executable naar de root gekopieerd, zodat de Pokémon Go-ransomware wordt gestart na het inloggen in Windows.
Meer experimentatie
Deze ransomware is nog volop in ontwikkeling: het heeft een statische AES-sleutel van ' 123vivalalgerie' en de C&C-server heeft een IP-adres uit de private range, wat inhoudt dat de malware geen verbinding legt via internet. Die arme Pikachu wordt misbruikt om als screensaver te dienen bij het losgeldbericht, dat momenteel enkel in het Arabisch is. Volgens Bleeping Computer bevat het ook een afbeelding met Sans Titre, zonder titel in het Frans - mogelijk een hint naar waar de ontwikkelaar vandaan komt.
Er duiken meer van dit soort ransomware-experimenten op. De ransomware Hitler telt af en wil 25 euro, maar als de teller nul bereikt worden alle bestanden in UserProfile-map gewist. Verder is er Android-ransomware die een kat plaatst op het ontgrendelingsscherm. Deze malware kan sms'jes versturen, de sd-kaart versleutelen en heeft botnet-features. Onderzoekers vermoeden dat ook dit een demoversie is.
Mevrouw Smit - niet haar echte naam - is programmeur met specifieke interesse in IT -privacy en security. Daarnaast is ze freelance schrijfster.
Reageer
Preview