„Pokémon Go“: Ransomware tarnt sich als Windows-Version

15. August 2016 Kategorie: Backup & Security, Internet, Software & Co, Windows, geschrieben von: André Westphal

Pokemon_go_150

Viel Sinn ergibt es auf den ersten Blick nicht: „Pokémon Go“ ist ein Augmented-Reality-Spiel, das intensiv GPS einspannt und bei den Gamern einige Laufarbeit voraussetzt. Wie sollte man ein derartiges Spiel demnach im stillen Kämmerlein am PC zocken? Die Entwickler einer neuen Hidden-Tear-Ransomware hoffen allerdings darauf, dass es dennoch User gibt, bei denen die Neugierde überwiegt. Ihre Ransomware tarnt sich als „Pokémon Go“ für Windows und zielt speziell auf Anwender im arabischen Raum ab. Bei Infizierung verschlüsselt auch diese Ransomware Dateien auf der Festplatte und zeigt am Ende eine Lösegeldaufforderung an.

Allerdings haben sich die Macher der „Pokémon Go“-Ransomware etwas mehr Mühe gemacht, als viele ihrer Kollegen. Etwa fügt diese Malware ein Hintertürchen in das eigene Windows-Konto ein, kann die entsprechende Exe-Datei an andere interne und externe Festplatten weiterreichen und versucht sie auch im Netzwerk zu teilen. Dabei befindet sich diese Ransomware aktuell noch in der Entwicklung und könnte somit noch um weitere „Features“ aufgestockt werden. Beachtlich ist hier schon jetzt, dass die Ransomware auch nach der Zahlung des jeweiligen Lösegeldes noch ein Hintertürchen offen hätte, um auf die Dateien des ursprünglich infizierten PCs zuzugreifen.

ransomware pokemongo

Dafür fügt die Ransomware ein Nutzerkonto namens „Hack3r“ zu der Gruppe der Administratoren hinzu. Das Konto wird aber durch Manipulierung der Registry verborgen. Die „Pokémon Go“-Ransomware kopiert sich zudem automatisch auf austauschbare Laufwerke und will sich dann automatisch starten, sobald das infizierte Laufwerk wieder eingestöpselt wird. Aktuell visieren die unbekannten Macher der Ransomware den arabischen Sprachraum an, wie auch die Erpresser-Botschaft zeigt. Der Entwickler könnte wiederum aus Frankreich oder einem französischsprachigen Land stammen, da sich in den Dateien ein Bild mit dem Namen „Sans Titre“ (unbenannt) findet.

Einmal wieder zeigt sich somit, dass Kriminelle die Popularität von „Pokémon Go“ gerne für ihre Zwecke missbrauchen wollen. Bleibt zu hoffen, dass nicht allzu viele Menschen darauf reinfallen, dass es eine Windows-Version des Augmented-Reality-Spiels geben könnte. Noch ist die Ransomware ohnehin zum Glück nicht fertiggestellt. Es dürfte aber angesichts der bereits investierten Arbeit wohl nur noch eine Frage der Zeit sein.



Werbung: Drohne, GoPro & Oculus Rift: Instaffo.com verlost coole Gadgets Zur Infoseite.

Über den Autor: André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

André hat bereits 1234 Artikel geschrieben.