Ransomware vermomt zich als Pokémon Go-bot
De populariteit van Pokémon Go trekt meer aan dan enkel enthousiaste fans die alle digitale beestjes willen vangen. Ook (cyber)criminelen zien opportuniteiten in het spel. Gerichte overvallen en malware hebben zich eerder al gemanifesteerd, nu is ook de eerste ransomwarevariant opgedoken die een slaatje wil slaan uit de app.
Necrobot
De infectie, Nullbyte Ransomware gedoopt, mikt op valsspelers. Het poseert als een betrouwbare versie van Necrobot, een programma dat gebruikers downloaden en installeren om hun level in het spel op te krikken zonder dat ze daarvoor de deur moeten uitgaan. Dat is sowieso al riskant want ontwikkelaar Niantic is niet mals voor betrapte valsspelers, iets waarmee onschuldige Proximus-klanten onlangs mochten kennismaken.
Losgeld
Nullbyte ransomware biedt zich op softwaredepot Github aan als de Necrobot-applicatie. Wanneer iemand de code onverhoeds installeert, lijkt de software in eerste instantie nog sterk op Necrobot en heeft het een identiek loginscherm.
Klik je op de login-knop, dan pretendeert het programma dat het een verbinding legt met de Necrobot-servers. In werkelijkheid begint het geruisloos je bestanden te versleutelen. Resultaat: je krijgt uiteindelijk een melding waarin je wordt gevraagd om losgeld te betalen als je je gegevens wil terugzien. De cybercriminelen zijn niet hebberig: bij de gevallen die bekend zijn eisten ze 0,1 bitcoin van slachtoffers, het equivalent van ongeveer 50 euro.
Die som hoef je niet te betalen om je bestanden terug te krijgen: er is ondertussen een decryptor beschikbaar waarmee je gratis aan de slag kan gaan. De instructies en download zijn in deze forumthread te vinden.