ешеная популярность игры Pokemon Go не могла не привлечь внимание хакеров, и они наконец решили использовать популярный тренд для собственного обогащения. Злоумышленники, по сообщениям блога BleepingComputer, разработали вымогателя, маскирующегося под популярную игру. Исследователь Майкл Джиллеспи (Michael Gillespie) обнаружил вредоносную программу, притворяющуюся Pokemon Go для платформы Windows. Зловред атакует преимущественно арабоговорящих жертв. На первый взгляд лже-Pokemon Go — это просто еще один из многих типичных шифровальщиков. Попав в систему, он начинает сканировать ее на наличие файлов .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png, а затем шифрует их при помощи AES-шифрования, добавляя расширение .locked. После на дисплее появляется сообщение, призывающее связаться с хакером по адресу:/cdn-cgi/l/email-protection#7b161e5519171a1810131a0f494b4a4e494b4a4e3b160f494b4a4e55181416 для получения инструкций по уплате выкупа. Но если присмотреться внимательнее, зловред имеет функции, нечасто встречающиеся в других вымогателях. Например, зловред создает бэкдор-аккаунт Windows, чтобы заразить другие внешние и локальные диски. Кроме того, он умеет создавать сетевые инстанции для обмена информацией. Большинство вымогателей действуют по отработанной схеме: зашифровав файлы, они удаляют себя из системы, а потом демонстрируют требование выкупа, не оставляя следов. Но вымогатель Pokemon Go создает лазейку в виде бэкдор-аккаунта Hack3r с правами администратора, чтобы впоследствии снова получить доступ к системе. Потом этот аккаунт скрывается из списка профилей пользователей, обычно отображаемых на экране при загрузке системы. Еще одна любопытная функция зловреда — создание сетевого диска на зараженном компьютере с пока непонятной исследователям целью. Эта возможность в данный момент неактивна. Также вымогатель имеет некоторые характеристики крипточервя, так как способен распространяться на другие съемные хранилища. Зловред создает файл Autorun.inf и запускает исполняемый файл каждый раз, когда пользователь подключает к компьютеру внешний накопитель. Кроме того, он копирует исполняемый файл в корень каждого локального диска и создает в регистре автозагрузок запись «Pokemon Go», запуская файл каждый раз, когда пользователь входит в свой аккаунт в Windows. Анализ показал, что образец в руках исследователей — пока черновик, так как в исходном коде содержатся некоторые характерные признаки продолжающегося процесса разработки. Например, вымогатель использует статичный AES-ключ 123vivalalgerie. Когда вымогатель будет полностью готов, он будет генерировать случайные ключи и хранить их на командном сервере. Командный сервер пока жестко запрограммирован в коде и располагается по частному IP-адресу. Функция создания сетевого диска также пока не используется. Текст записки с требованием выкупа написан на арабском и сообщает, что важные файлы на компьютере были зашифрованы. На скринсейвере изображен Пикачу и также содержится текст на арабском языке. Основываясь на написании статического ключа, а также на использовании арабского и французского языков в коде, исследователи предположили, что разработчик может иметь алжирские корни.
