Aktualizacja systemu Windows z poważnymi konsekwencjami: Ransomware Fantom stanowi krytyczną aktualizację systemu, aby przekonać niedoświadczonych użytkowników do zainstalowania go. Jak informuje serwis informatyczny BleepingComputer, złośliwe oprogramowanie zostało wykryte przez eksperta ds. bezpieczeństwa AVG Jakuba Kroustka.

Uważaj na a.exe! $ ('. magnificPopup'). magnificPopup ({
typ: 'obraz'
}); Fantom pojawia się w systemie jako konwencjonalny plik EXE. We właściwościach pliku złośliwe oprogramowanie udaje krytyczną aktualizację systemu Windows firmy Microsoft. Po uruchomieniu tego pliku złośliwe oprogramowanie wyodrębnia kolejne narzędzie do kamuflażu o nazwie WindowsUpdate.exe. Spowoduje to wykonanie nakładki ekranowej, która naśladuje ekran aktualizacji systemu Windows.

Podczas gdy fałszywa aktualizacja jest uruchomiona, ransomware zaczyna szyfrować katalogi i dodawać rozszerzenie .fantom do zawartych w nich plików. Stosowane jest szyfrowanie AES z kluczem o długości 128 bitów. Klucz jest automatycznie wysyłany do serwera kontrolnego autora.

Ransomware umieszcza również plik HTML o nazwie DECRYPT_YOUR_FILES w każdym folderze. Szkodnik uruchamia ten plik po zaszyfrowaniu, otwiera okno przeglądarki z listem szantażu właściciela praw autorskich. Fantom pobiera następnie tapetę w tle z danymi kontaktowymi do odszyfrowania. Wyłudzacze używają między innymi adresu e-mail od rosyjskiego dostawcy Yandex.

Nigdy nie płać szantażystom

Sposób rozprzestrzeniania się Fantomu jest obecnie nieznany. Jednak mówi się, że trojan został już rozpoznany jako zagrożenie przez niektóre skanery antywirusowe. Jednak każdy, kto został dotknięty przez złośliwe oprogramowanie, nigdy nie powinien płacić okupu. Nie ma pewności, czy zaszyfrowane pliki zostaną ponownie wydane po dokonaniu płatności. Ponadto płatności tylko zachęcają przestępców do kontynuowania swoich machinacji.

Regularne tworzenie kopii zapasowych ważnych danych na urządzeniach zewnętrznych to najlepsza i często jedyna skuteczna ochrona przed atakami ransomware, niezależnie od tego, czy są to trojany Locky, Cerber czy Fantom.