Pokémon Go für Windows gibt es nicht. Trotzdem bringen Malware-Entwickler einen Verschlüsselungstrojaner in Umlauf, der sich als Windows-Version des Hype-AR-Games ausgibt. Vorerst hat es die Ransomware auf arabische Nutzer abgesehen, bringt neue Funktionen und ist noch in der Entwicklung. Ein interessantes Lehrstück.
Hat da jemand den Postillion ernst genommen? Dieser schrieb am 13. Juli 2016 darüber, dass es bald eine Pokémon-Go-PC-Edition von Niantic geben werde. Das ist natürlich nur Satire, doch auch die wird manchmal wahr – in letzter Zeit häufiger. Leider nicht immer im positiven Sinne. Die Sicherheitsforscher von Bleepingcomputer berichten auf ihrem Blog von einer neuen Ransomware, die sich als Pokémon-Go-Version für Windows ausgibt. Natürlich vollkommener Unsinn, denn Pokémon Go gibt es nicht für den Computer, weder für Windows, Mac oder Linux.
Das AR-Game läuft derzeit ausschließlich unter iOS und Android – logisch: Man muss sich ja bewegen, um Pokémon zu fangen. Trotzdem hält das Trojaner-Entwickler nicht davon ab, es einfach mal zu versuchen. Sie wollen auch was vom Hype abhaben. Also ich hätte ja eher damit gerechnet, dass wir eine Krypto-Trojaner-Welle für Android erleben würden. Die kommt vielleicht noch. Aber an Windows hätte ich da wohl nicht als erstes gedacht. Die Pokémon Go Windows-Version hat es bevorzugt auf Nutzer im arabischen Raum abgesehen. Das geht aus der Erpresserbotschaft hervor, da diese in Arabisch verfasst wurde.
Pokémon Go Ransomware mit neuen Funktionen
Die meisten Verschlüsselungstrojaner sind darauf ausgelegt, die Daten zu verschlüsseln, sich selbst zu löschen und danach ein Lösegeld zu erpressen. Einer der bekanntesten Vertreter im deutschsprachigen Raum ist sicherlich Locky. Nur einige Exemplare gehen dazu über, Dateien zu löschen oder den Computer in ein Botnetz aufzunehmen, teilweise richtig aggressiv.
Die Pokémon Go Ransomware arbeitet zunächst wie die meisten seiner Kollegen. Sie verschlüsselt folgende Dateiformate: .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png
Bei der Verschlüsselung wird auf AES gesetzt und die betroffenen Dateien tragen danach die Dateiendung .locked. Anschließend informiert der Krypto-Trojaner sein Opfer mittels der Erpresserbotschaft und verweist auf eine E-Mail-Adresse für weitere Anweisungen für die Lösegeldforderung. Bis hierhin ist das alles nichts Neues.
PokemonGo.exe will USB-Geräte infizieren
Die Ransomware erstellt einen neuen Benutzer-Account mit dem Namen Hack3r. Diesen fügt er der lokalen Administratorengruppe hinzu und versteckt den Account auf dem Anmeldebildschirm. So halten sich die Angreifer eine Hintertür offen, um später unbemerkt auf den Computer zugreifen zu können. Der Trojaner verfügt auch über die Funktion, eine Netzwerkfreigabe anzulegen. Dieses Feature wird aktuell nicht verwendet und der Zweck ist unklar.
Zum Schluss kopiert sich die Ransomware auf alle verfügbaren USB-Geräte und Festplatten, mit Ausnahme der Systemfestplatte, und manipuliert den Autostart. Wird ein verseuchtes USB-Gerät an einen PC angeschlossen, versucht die PokemonGo.exe automatisch zu starten. Bei infizierten Festplatten erfolgt bei jeder Windows-Anmeldung die automatische Ausführung der schädlichen Exe-Datei.
Die Ransomware ist noch in der Entwicklung
Opfer haben momentan noch sehr viel Glück. Denn der Krypto-Trojaner ist noch in der Entwicklungsphase. Dafür existieren einige Anhaltspunkte. Die Ransomware nutzt den statischen AES-Schlüssel „123vivalalgerie“. Damit sollte es ein Leichtes sein, seine Dateien wieder zu entschlüsseln. Außerdem fanden die Sicherheitsexperten von Bleepingcomputer eine feste IP-Adresse eines C&C Servers, der auf einen privaten IP-Bereich zielt und somit nur lokal auf dem jeweiligen Computer ansprechbar ist. Ebenso erscheint mir die geringe Anzahl der zu verschlüsselnden Dateiformate noch etwas spartanisch.
Sollten die Entwickler ihre Ransomware scharf schalten, dann sollte die Entschlüsselung der Dateien nicht mehr so einfach funktionieren. Da dann für jeden Computer ein neuer Schlüssel generiert und auf den Servern der Erpresser gespeichert wird. Die Frage ist auch, ob der Krypto-Trojaner über den arabischen Raum hinauskommt.
Wer steckt dahinter?
Aufgrund des AES-Passworts, das übersetzt so viel wie „lang lebe Algerien“ bedeutet, vermutet Bleepingcomputer, dass die oder der Entwickler dem Land Algerien sehr zugetan sind. Vielleicht sind sie auch selbst Algerier. Es gibt noch einen weiteren Hinweis. In dem Bildschirmschoner ist ein Bild von Itachi aus Naruto enthalten und die Datei trägt den Namen „Sans Titre“. Diesmal ist es Französisch, statt Arabisch und bedeutet übersetzt „ohne Titel“.
Die Amtssprachen in Algerien sind Arabisch und Tamazight und das Land ist seit 1962 unabhängig von Frankreich. Das kann aber auch alles eine geschickte Finte sein. Zum Verbreitungsweg schreibt Bleepingcomputer nichts. Vermutlich werden es aber irgendwelche illegalen Downloadseiten sein, die das Spiel anbieten.
Lehrstück für stupide Erpressungsmethoden
Manch einer wird über die PC-Version von Pokémon Go einfach nur lachen, aber sie zeigt genauso, mit welchen Methoden Malware-Entwickler oftmals arbeiten. Sie spielen sehr häufig mit der Unbedarftheit, Unwissenheit und auch der Dummheit der Leute. Das wird nochmal deutlicher, wenn man sich die duzenden Spam-Mails anschaut, die einem fast täglich in die Inbox flattern.
Die meisten Angriffe fallen schnell auf. Aber der eine, der fast seriös oder unscheinbar wirkende Link. Klick und zack! Daher hilft wirklich nur genaues Hinschauen, ein tagesaktuelles Backup und ein gutes Antivirenprogramm, das den Schaden minimiert oder verhindert.
