Контакты
Подписка
МЕНЮ
Контакты
Подписка

Шифровальщик Pokemon GO устанавливает бэкдор на системе жертвы

Шифровальщик Pokemon GO устанавливает бэкдор на системе жертвы

Шифровальщик Pokemon GO устанавливает бэкдор на системе жертвы


16.08.2016



В последние несколько месяцев игра Pokemon GO приобрела огромную популярность во всем мире, чем не преминули воспользоваться вирусописатели. Исследователь в области безопасности Майкл Гиллеспи (Michael Gillespie) обнаружил фальшивое приложение Pokemon GO для Windows, под видом которого скрывается вымогательское ПО, способное не только шифровать файлы жертвы, но и устанавливать бэкдор на целевой системе.

 Вымогатель разработан на базе кода вредоносного ПО Hidden Tear, опубликованного на ресурсе GitHub исследователем Ютку Сеном (Utku Sen) в, как он утверждал, образовательных целях. По данным издания Bleeping Computer, шифровальщик Pokemon GO нацелен в основном на арабоязычных пользователей.

 На первый взгляд, функционал вредоноса практически не отличается от остальных видов подобного ПО. Оказавшись на системе, программа сканирует диски на наличие файлов с расширениями .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png. При обнаружении вредонос шифрует контент, добавляет расширение .locked и отображает на экране уведомление с изображением Пикачу и адресом электронной почты злоумышленника.

 Как показал более глубокий анализ, шифровальщик не только блокирует доступ к файлам, но и создает скрытую учетную запись администратора с именем Hack3r, позволяющую автору вредоноса получить доступ к компьютеру жертвы. Помимо этого, в числе функций Pokemon GO предусмотрена возможность создания сетевой папки (в настоящее время функция не используется) и самокопирования на все съемные диски.

 По некотором признакам вредоносное ПО пока находится на стадии разработки. В частности, об этом говорит использование статического AES-ключа 123vivalalgerie. Предположительно, конечный продукт будет генерировать произвольный ключ и загружать его на C&C-сервер злоумышленника.

Securitylab