Vorsicht: Gefälschte Pokémon Go Version für den PC enthält Ransomware!

Ransomware: Der Begriff bezeichnet Programme, die die Daten auf dem PC verschlüsseln und erst nach Zahlung eines Lösegeldes wieder freigeben. Die „Hidden-Tear“ genannte Ransomware soll sich jetzt als PC-Version von Pokémon Go tarnen – neben dem Verschlüsseln der PC Dateien soll sie aber auch unbemerkt einen Trojaner installieren, der den PC später fernsteuern und den Nutzer ausspionieren kann.

Das Icon der „PokemonGo.exe“ genannten Datei zeigt Pikachu, das wahrscheinlich bekannteste Pokémon. Starten sollte man das Programm aber auf keinen Fall, laut den Sicherheitsexperten von BleepingComputer sucht das Programm anschließend nach Dateien mit den folgenden Dateiendungen: .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif und .png.

Alle gefundenen Dateien mit diesen Endungen werden anschließend verschlüsselt und lassen sich nicht mehr öffnen. Man kann sie erst wieder freischalten, wenn man eine angegebene Email-Adresse kontaktiert, um weitere Anweisungen zum Zahlen eines Lösegeldes zu erhalten. Auch wenn die verschlüsselten Dateien anschließend wieder freigeschaltet werden sollten, bleibt noch der Trojaner auf dem Rechner installiert – hierüber könnten Angreifer erneut auf den Rechner zugreifen.

Die PokemonGo Ransomware versucht sich außerdem auf sämtlichen verfügbaren Festplatten, USB-Sticks oder Speicherkarten zu installieren, die gerade an den PC angeschlossen sind. Aktuell zielt das Programm noch auf Nutzer aus dem arabischen Raum ab, da die Botschaft der Schad-Software in arabisch ist – dies könnte sich aber später ändern: Mit der Beliebtheit des Handy-Spiels Pokémon Go ist es sehr wahrscheinlich, dass demnächst auch andere User angegriffen werden sollen.

Die Sicherheitsexperten gehen außerdem davon aus, dass sich die Schadsoftware noch in Entwicklung befindet: Einige der Funktionen in der PokemonGo.exe Datei wie eine Netzwerkfreigabe oder ein versteckt angelegter User mit Administrator-Rechten werden noch nicht genutzt und könnten darauf hinweisen, dass die Malware in späteren Versionen noch schädlicher werden könnte.