PokemonGo Ransomware | Viruskasino PokemonGo Ransomware ~ Viruskasino

PokemonGo Ransomware

Nainštaluje Backdoor účet a šíri sa aj do ďalších diskov.

Na prvý pohľad sa PokemonGo Ransomware nákaza vyzerá ako každý iný Ransomware infekcia.
Keď zašifruje súbory prípoji ku každému súboru príponu .locked.
Keď sa tak stane, zobrazí výkupné, ktorý hovorí obeti ako kontaktovať a získať platobné inštrukcie.

Nové funkcie nájdené v PokemonGo Ransomware.


Väčšina ransomware infekcií po zašifrovania súborov sa odstráni sam, a potom zobrazí výkupné.
PokemonGo chová sa trochu inak, pretože vytvára v systéme Windows backdoor účet,takže vývojár môže získať prístup k počítaču obete v neskoršom termíne.

Po inštalácii sa PokemonGo vytvorí užívateľský účet s názvom Hack3r a pridá ju do skupiny správcov.
užívateľský účet s názvom Hack3r








PokemonGo Ransomware vytvorí súbor Autorun.inf, ransomware je spustený zakaždým,keď niekto vloží vymeniteľný disk do počítača.
Obsah tohto súboru Autorun.inf je:

[AutoRun] OPEN=PokemonGo.exe ICON=PokemonGo.exe

Tiež uloží svoje kópie [AutoRun] do koreňového adresára každého disku a nastaví vstup autorun s názvom PokemonGo, potom sa to spusti pri prihlásení užívateľa do systému Windows.

Keď je nainštalovaný Ransomware,extrahuje zdroj vložený v hlavnom Ransomware, spustiteľný súbor a uloží ho do priečinka Po spustení.
Tento zdroj je v skutočnosti iný spustiteľný súbor, ktorý je nakonfigurovaný pre spustenie automaticky, keď obeť prihlási do systému Windows, zobrazí sa šetrič obrazovky ukazujúci Pikachu a ďalšie výkupné v arabčine.
obrazok

Súbory spojené s PokemonGo Ransomware.


%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[random].exe PokemonGo.exe

Položky databázy Registry spojené s PokemonGo Ransomware:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PokemonGo"
Zdroj:
Bleepingcomputers.