Pokemon Go ist toll, man geht raus an die Frische Luft und sucht kleine Digitale Monster. Manche Leute finden jedoch das Laufen und die Frische Luft nicht so toll. Für die gibt es Bots. Diese laufen für die User, natürlich nur virtuell, umher und fangen Pokemon. Da lies auch ein Erpresser-Trojaner nicht lange auf sich warten.

Nullbyte Ransomware stopft nun diese, nicht so wichtige Lücke.

Die Ransomware ist als Github Project NecroBot getarnt und auch nach dem öffnen und starten sieht man keinen Unterschied.

Fake NecroBot Github Page

Nach dem Starten werden Logindaten abgefragt. Egal ob diese richtig oder gefälscht sind, der Trojaner sendet die Daten an seinen C&C Server. Anschliessend wird die Verschlüsslung gestartet.

Nach dem Abschluss der Verschlüsselung wird ein Bild angezeigt mit der Meldung das die Daten verschlüsselt wurden und ein Lösegeld von 0.1 Bitcoins zu zahlen ist.

Nullbyte Ransomware verschlüsselt die folgenden Ordner:

%USERPROFILE%\Documents
%USERPROFILE%\Downloads
%USERPROFILE%\Favorites
%USERPROFILE%\Pictures
%USERPROFILE%\Music
%USERPROFILE%\Videos
%USERPROFILE%\Contacts
%USERPROFILE%\Desktop

Ebenfalls werden die Prozesse von Chrome, CMD, Firefox, iexplorer und Opera beendet um die Suche nach Hilfe zu erschweren. Zum Schluss wird noch ein Screenshot des Desktops zum C&C Server hochgeladen, für was dieser Screenshot benutzt wird ist noch nicht klar.  

Dank Michael Gillespie gibt es jedoch schon ein Entschlüsselungs-Tool. Die Anleitung dazu findet ihr hier.

Facebooktwittergoogle_plusredditpinterestlinkedinmail