RANSOM_POGOTEAR.A

如需此「間諜程式」的快速全面一覽，請參閱下面的「安全威脅圖表」。

它植入AUTORUN.INF文件，当用户访问受感染系统的驱动器时，自动执行植入的副本。

它连接到某个网站，发送和接收信息。

安装

它植入下列文件：

• C:\Users\{username}\Desktop\هام جدا.txt -> ransom note
• C:\Users\{username}\Desktop\pk -> key
• %User Startup%\{random characters}.exe -> (to be detected as Ransom_POGOTEAR.A)

(注意: %User Startup% 是当前用户的启动文件夹，通常位于 C:\Windows\Profiles\{user name}\Start Menu\Programs\Startup (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Start Menu\Programs\Startup (Windows NT) 和 C:\Documents and Settings\{User name}\「开始」菜单\程序\启动。)

它留下文本文件，作为索取赎金通知，包含下列内容：

• (: لقد تم تشفير ملفاتكم، لفك الشفرة فلكسي موبيليس للعنوان التالي me.{BLOCKED}20152015@mt2015.com وشكرا على كرمكم مسبقا

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
PokemonGo = "{Malware file path and file name}"

其他系统修改

它添加下列注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
SpecialAccounts\UserList
Hack3r = "0"

传播

它在下列驱动器中植入自身副本：

• {Destination Root*}\PokemonGo.exe
  • All fixed drives, removable drives, shared folders and mapped network drives

它植入AUTORUN.INF文件，当用户访问受感染系统的驱动器时，自动执行植入的副本。

上述的 .INF 檔案含有下列字串：

[AutoRun]
OPEN=PokemonGo.exe
ICON=PokemonGo.exe

进程终止

它终止在受感染的系统内存中运行的下列进程：

• SMΔRTP

其他详细信息

它连接到下列网站，发送和接收信息：

• http://{BLOCKED}.{BLOCKED}.0.169/PokemonGo/write.php?info={computername}-{username} {key}<br>

它使用下列扩展名加密文件：

• .txt
• .rtf
• .doc
• .pdf
• .mht
• .docx
• .xls
• .xlsx
• .ppt
• .pptx
• .odt
• .jpg
• .png
• .csv
• .sql
• .mdb
• .sln
• .php
• .asp
• .aspx
• .html
• .xml
• .psd
• .htm
• .gif
• .png

它使用下列名称重命名加密文件：

• {original file name and file extension}.locked