PokemonGO

PokemonGO Ransomware 

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, но никакой привычной в биткоинах суммы выкупа не сообщает, чтобы вернуть файлы обратно. Название происходит от популярной игры для мобильных устройств, персонажа из которой вымогатели используют. 

© Генеалогия: Hidden Tear >> PokemonGO

К зашифрованным файлам добавляется расширение .locked. 
Ориентирован на арабских пользователей. 

  Записка с требованием выкупа называется: هام جدا.txt ("Очень важно" на арабском).

Содержание записки о выкупе: 
(: لقد تم تشفير ملفاتكم، لفك الشفرة فلكسي موبيليس للعنوان التالي me.blackhat20152015@mt2015.com وشكرا على كرمكم مسبقا 

Перевод записки на русский язык (Google Translation): 
(: Ваши файлы были зашифрованы, дешифровка Falaksa Mobilis на следующий адрес me.blackhat20152015@mt2015.com и заранее благодарим вас за вашу щедрость.

Вымогатель использует значок покемон-персонажа Pikachu.

Этот криптовымогатель также устанавливает в систему скринсейвер (заставку), которая демонстрирует Пикачу на чёрном экране с надписью на арабском языке. Кажется это первый случай использования вымогателями собственной заставки вместо обоев. Видимо, покемоны очень популярны в арабских странах. Никогда бы не подумал. :)

Распространяется с помощью загружаемых инфицированных файлов. Добавляется в Автозагрузку системы, чтобы запускаться при каждом входе пользователя в систему. Также создается учетная запись нового пользователя Hack3r (типа: хакер) с правами администратора. 

Затем он скрывает эту учетную запись от просмотра на экране входа в Windows, путем внесения изменения в реестре: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList "Hack3r" = 0

PokemonGo пытается распространить себя путем копирования исполняемого файла на все съёмные диски. Для этого он создает файл Autorun.inf, чтобы вымогатель запускался каждый раз, когда кто-то вставляет съемный диск в ПК. Содержимое этого файла Autorun.inf следующее:
[AutoRun]
OPEN=PokemonGo.exe
ICON=PokemonGo.exe

PokemonGo также копирует исполняемый файл в корневой каталог каждого локального диска и устанавливает запись автозапуска с именем PokemonGo, чтобы запускать его, когда пользователь входит в систему Windows.

Вероятно, вымогатель на момент написания статьи был тестовым или недоработанным вариантом. В частности, об этом говорит использование статического AES-ключа 123vivalalgerie. 

Название этого ключа содержит фразу "vivalalgerie" (Виват Алжир), что указывает на алжирское происхождение разработчика крипто-вымогателя. 

В релизном варианте Pokemon-вымогатель будет генерировать произвольный ключ и загружать его на C&C-сервер своего разработчика. Расширенный анализ. 

Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .csv, .doc, .docx, .gif, .htm, .html, .jpg, .mdb, .mht, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rtf,  .sln, .sql, .txt, .xls, .xlsx, .xml (25 расширений). 

Файлы, связанные с Ransomware: 
 C:\Users\User_name\Desktop\pk - (пароль)
 C:\Users\User_name\Desktop\هام جدا.txt - (записка о выкупе)
 %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[random].exe     PokemonGo.exe  - (случайное название для этого экземпляра).

Записи реестра, связанные с Ransomware: 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PokemonGo"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\Hack3r

Сетевые подключения и связи:
URL: xxxxs://pokemongo.icu/


Степень распространённости: средняя (с новыми вариантами). 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.