![Kako popraviti srušenu SD karticu i zaštititi svoje podatke](/f/f147e07f314517d63691770dad6eb22a.jpg?width=100&height=100)
Kao što svi znamo da je Pokemon Go, koja je locirana igra proširene stvarnosti koju je razvio Niantic, sada postala najveća i najluđa igra svih vremena. Istraživač sigurnosti Michael Gillespie otkrio je novi ransomware koji je nazvan ransomware 'Hidden-Tear' koji predstavlja glumljenje Pokemon Go aplikacije za Windows.
Nepobitno je da je Pokémon Go, besplatna igra za proširenu stvarnost koja se temelji na lokaciji, a koju je razvio Niantic za iOS i Android uređaje, postala najveća i najluđa igra svih vremena. Ova igra trebala je milijune računala pred igračima da pokrenu igru virtualnih čudovišta ili Pokemona u cijelom stvarnom svijetu.
Očekivalo se, međutim, da će cyber kriminalci iskoristiti ovu priliku da zaraze igrače i njihove uređaje. Ovog puta, cyber kriminalci stvorili su opasni ransomware, s istim imenom igre, napadajući Windows račune.
Novi ransomware koji je nazvan "Hidden-Tear" ransomware koji se predstavlja kao Pokemon Go aplikacija za Windows. Istraživač sigurnosti Michael Gillespie otkrio je da postoji zlonamjerni program za Windows koji se predstavlja kao Pokémon GO i cilja žrtve.
Modus operandi je tradicionalan. Jednom kada je računalo zaraženo, ransomware počinje šifrirati sve datoteke sa sljedećim nastavcima:
“.Txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb,. sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png "
#HiddenTear#Ransomware maskiran kao @PokemonGoApp, tužni Pikachu uključen. Napomena هام جدا. Txt: https://t.co/UcoHYblx7gpic.twitter.com/xXO8f8nTZs
- Michael Gillespie (@ demonslay335) 12. kolovoza 2016
Zlonamjerni softver koristi AES enkripciju za zaključavanje datoteka, a zatim će se dodati proširenje datoteke .locked u pogođenim dokumentima. Nakon završetka postupka šifriranja, ransomware će prikazati "poruku spašavanja" datoteku s ovim imenom "هام جدا". Txt ’, zahtijevajući od žrtve da pošalje e-mail na‘[e-pošta zaštićena]’Kako biste dobili upute za dešifriranje.
Ovo je poruka zahtjeva za otkup
“(:: Vaše su datoteke šifrirane, dešifrirajte Falaksa Mobilis slijedeći ovu adresu [e-pošta zaštićena] i unaprijed zahvaljujem na vašoj velikodušnosti "
Čini se da se ponaša „normalno“ za ovu vrstu napada, kao da je to uobičajeni ransomware, onda jednostavno šifrira datoteke i traži novac za dešifriranje. Međutim, ovo donosi još nešto gore u rukavu.
U procesu računalne infekcije zlonamjerni softver sam stvara račun administratora u pozadini Windows s imenom "Hack3r", a samim tim i operater zlonamjernog softvera uvijek će imati pristup žrtvinom Računalo. Posao ide dalje, jer su svi tragovi računa stvaranja skriveni pomoću Windows registra.
Pokemon GO ransomware pokušat će otići na druge strojeve radi zaraze i proširiti se kopiranjem izvršne datoteke ransomwarea na sve prijenosne diskove. Stvorit će se datoteka "autorun.inf" kako bi se osiguralo da će ransomware biti aktiviran cijelo vrijeme kad god je ta kontaminirana jedinica spojena na računalo.
“[Automatsko pokretanje]
OTVORENO = PokemonGo.exe
ICON = PokemonGo.exe ”
Konačno, postavit će i kopiju ransomwarea na druge fiksne diskove na računalu, što će postaviti drugu datoteku za automatsko pokretanje da je pokreće kad god se računalo pokrene.
Unatoč tim mogućnostima, ransomware je još uvijek u fazi razvoja. S jedne strane, zlonamjerni softver koristi statički AES ključ "123vivalalgerie", a njegov poslužitelj koristi IP adresu koja je namijenjena privatnoj upotrebi, što onemogućuje pristup putem interneta.
„Privatni niz TargetURL =“ http://10.25.0.169/PokemonGo/write.php? info = ";"
Kao što smo ranije rekli, tehnika je još uvijek u ranoj fazi i brzo može potaknuti druge hakere da reprogramiraju i povećaju sposobnost oštećenja ove nove vrste ransomwarea.