Nainštaluje Backdoor účet a šíri sa aj do ďalších diskov.
Na prvý pohľad sa PokemonGo Ransomware nákaza vyzerá ako každý iný Ransomware infekcia.Keď zašifruje súbory prípoji ku každému súboru príponu .locked.
Keď sa tak stane, zobrazí výkupné, ktorý hovorí obeti ako kontaktovať a získať platobné inštrukcie.
Nové funkcie nájdené v PokemonGo Ransomware.
Väčšina ransomware infekcií po zašifrovania súborov sa odstráni sam, a potom zobrazí výkupné.
PokemonGo chová sa trochu inak, pretože vytvára v systéme Windows backdoor účet,takže vývojár môže získať prístup k počítaču obete v neskoršom termíne.
Po inštalácii sa PokemonGo vytvorí užívateľský účet s názvom Hack3r a pridá ju do skupiny správcov.
Obsah tohto súboru Autorun.inf je:
[AutoRun] OPEN=PokemonGo.exe ICON=PokemonGo.exe
Tiež uloží svoje kópie [AutoRun] do koreňového adresára každého disku a nastaví vstup autorun s názvom PokemonGo, potom sa to spusti pri prihlásení užívateľa do systému Windows.
Keď je nainštalovaný Ransomware,extrahuje zdroj vložený v hlavnom Ransomware, spustiteľný súbor a uloží ho do priečinka Po spustení.
Tento zdroj je v skutočnosti iný spustiteľný súbor, ktorý je nakonfigurovaný pre spustenie automaticky, keď obeť prihlási do systému Windows, zobrazí sa šetrič obrazovky ukazujúci Pikachu a ďalšie výkupné v arabčine.
Súbory spojené s PokemonGo Ransomware.
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[random].exe PokemonGo.exe
Položky databázy Registry spojené s PokemonGo Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PokemonGo"Zdroj:
Bleepingcomputers.
