Wir benutzen Cookies, um die Nutzerfreundlichkeit der Website zu verbessern. Durch deinen Besuch stimmst du der Datenschutzerklärung zu.
Alles klar!
BASIC thinking Logo Dark Mode BASIC thinking Logo Dark Mode
  • TECH
    • Apple
    • Android
    • ChatGPT
    • Künstliche Intelligenz
    • Meta
    • Microsoft
    • Quantencomputer
    • Smart Home
    • Software
  • GREEN
    • Elektromobilität
    • Energiewende
    • Erneuerbare Energie
    • Forschung
    • Klima
    • Solarenergie
    • Wasserstoff
    • Windkraft
  • SOCIAL
    • Facebook
    • Instagram
    • TikTok
    • WhatsApp
    • X (Twitter)
  • MONEY
    • Aktien
    • Arbeit
    • Die Höhle der Löwen
    • Finanzen
    • Start-ups
    • Unternehmen
    • Marketing
    • Verbraucherschutz
Newsletter
Font ResizerAa
BASIC thinkingBASIC thinking
Suche
  • TECH
  • GREEN
  • SOCIAL
  • MONEY
  • ENTERTAIN
  • NEWSLETTER
Folge uns:
© 2003 - 2025 BASIC thinking GmbH
Pokemon Go Ransomware
TECH

Ransomware: Pokémon Go für Windows bedroht Nutzer im arabischen Raum

Markus Werner
Aktualisiert: 22. Oktober 2016
von Markus Werner
Teilen

Pokémon Go für Windows gibt es nicht. Trotzdem bringen Malware-Entwickler einen Verschlüsselungstrojaner in Umlauf, der sich als Windows-Version des Hype-AR-Games ausgibt. Vorerst hat es die Ransomware auf arabische Nutzer abgesehen, bringt neue Funktionen und ist noch in der Entwicklung. Ein interessantes Lehrstück.

Hat da jemand den Postillion ernst genommen? Dieser schrieb am 13. Juli 2016 darüber, dass es bald eine Pokémon-Go-PC-Edition von Niantic geben werde. Das ist natürlich nur Satire, doch auch die wird manchmal wahr – in letzter Zeit häufiger. Leider nicht immer im positiven Sinne. Die Sicherheitsforscher von Bleepingcomputer berichten auf ihrem Blog von einer neuen Ransomware, die sich als Pokémon-Go-Version für Windows ausgibt. Natürlich vollkommener Unsinn, denn Pokémon Go gibt es nicht für den Computer, weder für Windows, Mac oder Linux.

Das AR-Game läuft derzeit ausschließlich unter iOS und Android – logisch: Man muss sich ja bewegen, um Pokémon zu fangen. Trotzdem hält das Trojaner-Entwickler nicht davon ab, es einfach mal zu versuchen. Sie wollen auch was vom Hype abhaben. Also ich hätte ja eher damit gerechnet, dass wir eine Krypto-Trojaner-Welle für Android erleben würden. Die kommt vielleicht noch. Aber an Windows hätte ich da wohl nicht als erstes gedacht. Die Pokémon Go Windows-Version hat es bevorzugt auf Nutzer im arabischen Raum abgesehen. Das geht aus der Erpresserbotschaft hervor, da diese in Arabisch verfasst wurde.

BASIC thinking UPDATE

Jeden Tag bekommen 10.000+ Abonnenten die wichtigsten Tech-News direkt in die Inbox. Abonniere jetzt dein kostenloses Tech-Briefing:

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung

  • 5 Minuten pro Tag
  • 100% kostenlos
  • Exklusive PDF-Guides

Pokémon Go Ransomware mit neuen Funktionen

Die meisten Verschlüsselungstrojaner sind darauf ausgelegt, die Daten zu verschlüsseln, sich selbst zu löschen und danach ein Lösegeld zu erpressen. Einer der bekanntesten Vertreter im deutschsprachigen Raum ist sicherlich Locky. Nur einige Exemplare gehen dazu über, Dateien zu löschen oder den Computer in ein Botnetz aufzunehmen, teilweise richtig aggressiv.

Die Pokémon Go Ransomware arbeitet zunächst wie die meisten seiner Kollegen. Sie verschlüsselt folgende Dateiformate: .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png

Bei der Verschlüsselung wird auf AES gesetzt und die betroffenen Dateien tragen danach die Dateiendung .locked. Anschließend informiert der Krypto-Trojaner sein Opfer mittels der Erpresserbotschaft und verweist auf eine E-Mail-Adresse für weitere Anweisungen für die Lösegeldforderung. Bis hierhin ist das alles nichts Neues.

PokemonGo.exe will USB-Geräte infizieren

Die Ransomware erstellt einen neuen Benutzer-Account mit dem Namen Hack3r. Diesen fügt er der lokalen Administratorengruppe hinzu und versteckt den Account auf dem Anmeldebildschirm. So halten sich die Angreifer eine Hintertür offen, um später unbemerkt auf den Computer zugreifen zu können. Der Trojaner verfügt auch über die Funktion, eine Netzwerkfreigabe anzulegen. Dieses Feature wird aktuell nicht verwendet und der Zweck ist unklar.

Zum Schluss kopiert sich die Ransomware auf alle verfügbaren USB-Geräte und Festplatten, mit Ausnahme der Systemfestplatte, und manipuliert den Autostart. Wird ein verseuchtes USB-Gerät an einen PC angeschlossen, versucht die PokemonGo.exe automatisch zu starten. Bei infizierten Festplatten erfolgt bei jeder Windows-Anmeldung die automatische Ausführung der schädlichen Exe-Datei.

Die Ransomware ist noch in der Entwicklung

Opfer haben momentan noch sehr viel Glück. Denn der Krypto-Trojaner ist noch in der Entwicklungsphase. Dafür existieren einige Anhaltspunkte. Die Ransomware nutzt den statischen AES-Schlüssel „123vivalalgerie“. Damit sollte es ein Leichtes sein, seine Dateien wieder zu entschlüsseln. Außerdem fanden die Sicherheitsexperten von Bleepingcomputer eine feste IP-Adresse eines C&C Servers, der auf einen privaten IP-Bereich zielt und somit nur lokal auf dem jeweiligen Computer ansprechbar ist. Ebenso erscheint mir die geringe Anzahl der zu verschlüsselnden Dateiformate noch etwas spartanisch.

Sollten die Entwickler ihre Ransomware scharf schalten, dann sollte die Entschlüsselung der Dateien nicht mehr so einfach funktionieren. Da dann für jeden Computer ein neuer Schlüssel generiert und auf den Servern der Erpresser gespeichert wird. Die Frage ist auch, ob der Krypto-Trojaner über den arabischen Raum hinauskommt.

Wer steckt dahinter?

Aufgrund des AES-Passworts, das übersetzt so viel wie „lang lebe Algerien“ bedeutet, vermutet Bleepingcomputer, dass die oder der Entwickler dem Land Algerien sehr zugetan sind. Vielleicht sind sie auch selbst Algerier. Es gibt noch einen weiteren Hinweis. In dem Bildschirmschoner ist ein Bild von Itachi aus Naruto enthalten und die Datei trägt den Namen „Sans Titre“. Diesmal ist es Französisch, statt Arabisch und bedeutet übersetzt „ohne Titel“.

Die Amtssprachen in Algerien sind Arabisch und Tamazight und das Land ist seit 1962 unabhängig von Frankreich. Das kann aber auch alles eine geschickte Finte sein. Zum Verbreitungsweg schreibt Bleepingcomputer nichts. Vermutlich werden es aber irgendwelche illegalen Downloadseiten sein, die das Spiel anbieten.

Lehrstück für stupide Erpressungsmethoden

Manch einer wird über die PC-Version von Pokémon Go einfach nur lachen, aber sie zeigt genauso, mit welchen Methoden Malware-Entwickler oftmals arbeiten. Sie spielen sehr häufig mit der Unbedarftheit, Unwissenheit und auch der Dummheit der Leute. Das wird nochmal deutlicher, wenn man sich die duzenden Spam-Mails anschaut, die einem fast täglich in die Inbox flattern.

Die meisten Angriffe fallen schnell auf. Aber der eine, der fast seriös oder unscheinbar wirkende Link. Klick und zack! Daher hilft wirklich nur genaues Hinschauen, ein tagesaktuelles Backup und ein gutes Antivirenprogramm, das den Schaden minimiert oder verhindert.

Kleines Kraftwerk

Anzeige

STELLENANZEIGEN
BASIC thinking Freiberuflicher Redakteur (m/w/d)
BASIC thinking GmbH in Home Office
Online Marketing Manager (m/w/d)
CLR - Chemisches Laboratorium Dr. Kurt Ric... in Berlin
Digital Marketing Specialist m/w/d Social Med...
Smyths Toys Deutschland SE & Co. KG in Köln
Auszubildende zur Fachinformatikerin bzw. zum...
Bundesamt für Migration und Flüchtlinge in Nürnberg
Sales Manager (m/w/d) Online Marketing
Sellwerk GmbH & Co. KG in Erfurt, Nordhausen, Rudols...
Pflichtpraktikanten (m/w/d) im E-Commerce / O...
OMB AG Online.Marketing.Berater. in Frankfurt am Main

Du willst solche Themen nicht verpassen? Mit dem BASIC thinking UPDATE, deinem täglichen Tech-Briefing, starten über 10.000 Leser jeden Morgen bestens informiert in den Tag. Jetzt kostenlos anmelden:

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung

THEMEN:MalwareWindows
Teile diesen Artikel
Facebook Flipboard Whatsapp Whatsapp LinkedIn Threads Bluesky Email
vonMarkus Werner
Folgen:
Markus Werner ist Redakteur.
Kleines Kraftwerk

Anzeige

EMPFEHLUNG
American Express Kreditkarte
Jetzt profitieren: Exklusive Vorteile mit der American Express Kreditkarte sichern
Anzeige MONEY
PŸUR
Internet, das nie teuer wird – für nur 19 Euro pro Monat
Anzeige TECH
UPDATE – DEIN TECH-BRIEFING

Jeden Tag bekommen 10.000+ Abonnenten von uns die wichtigsten Tech-News direkt in die Inbox. Abonniere jetzt dein kostenloses Tech-Briefing:

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung

LESEEMPFEHLUNGEN

Anker SOLIX Solarbank 3
AnzeigeTECH

1.500 Euro Stromkosten pro Jahr sparen: Mit der Anker SOLIX Solarbank 3

besten Autos 2025
MONEYTECH

Preis-Leistung: Die besten Autos im Jahr 2025

organische Solarzelle Rekord Effizienz
GREENTECH

Forscher entwickeln effizienteste organische Solarzelle der Welt

Akku Life Guard intelligente Steckdose Höhle der Löwen Nature
MONEYTECH

Akku Life Guard: Intelligente Steckdose aus „Höhle der Löwen“ (+Gewinnspiel)

KI-Singularität KI Künstliche Intelligenz
TECH

KI-Singularität: Eine neue Ära der Künstlichen Intelligenz?

Balkonkraftwerke Vergleich, Solar, Solarenergie, Erneuerbare Energie, Solarenergie, Sonne, Haus, Stiftung Warentest, Ranking
GREENTECH

Stiftung Warentest: 8 Balkonkraftwerke im Vergleich – nur zwei Anlagen „gut”

Mehr anzeigen
Folge uns:
© 2003 - 2025 BASIC thinking GmbH
  • Über uns
  • Mediadaten
  • Impressum
  • Datenschutz
Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?