Ransomware PokemonGo instala puerta trasera y se extiende a otras unidades

A primera vista, la infección ransomware PokemonGo se parece a cualquier otra infección genérica ransomware. Explorará el sistema de la víctima para ubicar los archivos que tengan las siguientes extensiones:

 

.txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png

Cuando cifra un archivo utilizará el cifrado AES y añadirá la extensión .locked al archivo encriptado. Luego visualizará una nota de rescate que le dirá a la víctima ponerse en contacto conme.blackhat20152015@mt2015.com para obtener instrucciones de pago.

Un vistazo más de cerca, es evidente que este desarrollador usado tiempo extra para incluir características que no se encuentran en otros, pero si los hay, en otras variantes ransomware. Estas características incluyen la adición de una cuenta de usuario de Windows con puerta trasera, extendiéndose el ejecutable a otras unidades, y la creación de recursos compartidos en red. También parece que el desarrollador aún está trabajando en el ransomware ya que el código fuente contiene muchos indicios de que esta es una versión en desarrollo.

Las nuevas características que se encuentran en el ransomware PokemonGo 

La mayoría de las infecciones ransomware cifran los datos, se borran a sí mismo, y después muestran una nota de rescate. Los desarrolladores de malware están allí para hacer una cosa; cifrar sus archivos para que se pague por el rescate. Con esto dicho, la mayor parte de los ransomware normalmente no quieren dejar ningún rastro detrás de las notas de rescate. El ransomware PokemonGo actúa un poco diferente, ya que crea una cuenta de usuario con puerta trasera en Windows para que el desarrollador pueda acceder a la computadora de la víctima en una fecha posterior.

Una vez instalado, el ransomware PokemonGo creará una cuenta de usuario llamada Hack3r y la agregará al grupo de Administradores.

A continuación, esconderá esta cuenta para que no pueda ser visto en la pantalla de inicio de sesión de Windows mediante la configuración de la siguiente clave del registro de Windows:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList "Hack3r" = 0

Otra característica es que contiene una función que va a crear un recurso compartido de red en el ordenador de la víctima. Aún no se sabe para qué será utilizado ya que la mayoría de las acciones podrían ser bloqueados por el router o por el firewall de la víctima. Esta función actualmente no está siendo utilizado por el programa.

Por último, pero no menos importante, el ransomware intentará propagarse por sí mismo mediante la copia del ejecutable del ransomware a todas las unidades extraíbles. A continuación, creará un archivo Autorun.inf de modo que el ransomware se ejecute cada vez que alguien introduce esa unidad extraíble en un ordenador. El contenido de este archivo Autorun.inf es:

 

[AutoRun] OPEN=PokemonGo.exe ICON=PokemonGo.exe

También copia el ejecutable a la raíz de cualquier otro disco fijo, la unidad C: y establecerá una entrada con ejecución automática llamada PokemonGo para iniciarlo cuando un usuario inicie sesión en Windows.

El ransomware PokemonGo está todavía en desarrollo

Hay numerosos indicios de que este ransomware está todavía en desarrollo. En primer lugar, el ransomware una clave AES estática 123 vivalalgerie. Se supone que cuando este ransomware esté completo, se generará una clave aleatoria y lo subirá al servidor de comando y control.

Otro indicio de que todavía está en desarrollo es que el servidor C2 codificado utiliza una dirección IP que se asigna sólo para uso privado. Eso significa que no hay manera de conectarse a la dirección IP a través de Internet.

 

private string targetURL = "http://10.25.0.169/PokemonGo/write.php?info=";

Esto también va a cambiar cuando el ransomware sea finalmente liberado.

Por último, CreateShare está en el programa, pero en realidad no está siendo utilizado en este momento.

El ransomware PokemonGo tiene como Objetivos víctimas árabes

Este ransomware se dirige a víctimas árabes basándonos en las notas de rescate y en el protector de pantalla creados por el programa. Cuando el ransomware ha terminado la encriptación de los archivos en el equipo va a crear una nota de rescate en el escritorio de Windows llamada هام جدا. Txt. Esto se traduce en muy important.txt.

El contenido de esta nota de rescate es:

 

(: لقد تم تشفير ملفاتكم، لفك الشفرة فلكسي موبيليس للعنوان التالي me.blackhat20152015@mt2015.com وشكرا على كرمكم مسبقا

La traducción en español es:

 

( : Tus archivos han sido encriptados , para decodicarlos Falaksa Mobilis siga la siguiente dirección electrónicame.blackhat20152015@mt2015.com gracias anticipadamente por su generosidad.
Por último, cuando se instala el ransomware se va a extraer un recurso incrustado en el ejecutable principal del ransomware y guardarlo en la carpeta de inicio de la víctima. Este recurso es en realidad otro ejecutable que está configurado para iniciarse automáticamente cuando la víctima se registre en Windows. Una vez iniciado, se mostrará una pantalla que muestra Pikachu y otra nota de rescate en árabe.

Un recurso interesante incrustado en el ejecutable de pantalla es una imagen (que se muestra a continuación) con el nombre de Sin Título. Esta frase es en francés, en lugar de árabe, y significa sin título. ¿Podría esto ser una pista sobre el origen de los desarrolladores?

Archivos asociados con el ransomware PokemonGo:

 

%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[random].exe PokemonGo.exe

Las entradas de registro asociadas con el ransomware PokemonGo:

 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PokemonGo"

Fuente: Bleeping Computer