Ransomware Fantom se pretvara da je Windows Update

Opisi virusa, 29.08.2016, 08:00 AM

Ransomware Fantom se pretvara da je Windows Update

Jakub Krustek iz kompanije AVG pre nekoliko dana primetio je novi ransomware koji prikazuje lažni ekran Windows Update tako da žrtva veruje da Windows instalira nova važna ažuriranja, dok ransomare u pozadini, krišom šifruje fajlove korisnika.

Ransomware koji je nazvan Fantom baziran je na kodu EDA2, eksperimentalnog ransomwarea otvorenog koda koga je prošle godine objavio turski bezbednosni istraživač Utku Sen.

EDA2 je imao propuste koji su omogućili istraživačima da dođu do ključeva za dešifrovanje sa komando-kontrolnog (C&C) servera ransomwarea.

Nažalost, ovih propusta više nema, što znači da su ih autori Fantoma pronašli i ispravili ih, i da trenutno nije moguće dešifrovati fajlove koje je šifrovao Fantom i da se načini na koje se dolazi do ključeva za ransomwaree koji su bazirani na kodu EDA2 u ovom slučaju nisu od koristi.

Kako se ovaj ransomware širi za sada se ne zna. Sajber kriminalci ovu vrstu malvera najčešće šire ili preko spam emailova ili pomoću exploit alata.

U svakom slučaju, fajl koji sadrži ransomware je nazvan criticalupdate01.exe. Autori Fantoma očigledno žele da iskoriste “Windows Security Update” da bi prevarili korisnike da pokrenu maliciozni fajl. Ako žrtva pogleda svojstva fajla (file properites) videće da je fajl navodno Microsoftov i da je naziv fajla “critical update kb01”.

Kada se taj fajl pokrene, ransomware kreće u akciju i prikazuje lažni ekran Windows Update sa procentima učitavanja, koji liči na originalni ekran Windows Update. Ovaj lažni ekran sakiva ono što se zaista dešava na računaru a to je šifrovanje fajlova. Ekran može biti uklonjen pre nego što dostigne 100% ako se istovremeno pritisnu tasteri Ctrl i F4, ali nažalost, to neće zaustaviti šifrovanje fajlova.

MalwareHunterTeam analizirao je kod malvera i zaključio da Fantom kao i drugi na EDA2 bazirani ransomwarei, generiše AES-128 ključ, šifruje ga koristeći RSA, i zatim ga šalje komando-kontrolnom (C&C) serveru koji kontrolišu kriminalci.

Fantom zatim traži fajlove sa određenim ekstenzijama i šifruje ih koristeći AES-128 enkripciju. Kada šifruje fajl, Fantom mu dodaje ekstenziju .fantom. Na primer, fajl apple.jpg kada se šifruje biće apple.jpg.fantom. U svakom folderu u kome šifruje fajlove, Fantom ostavlja DECRYPT_YOUR_FILES.HTML fajl.

Fantom briše shadow volume kopije i lažni exe fajl Windows Update.

Ransomware prikazuje obaveštenje o otkupnini koje sadrži ID ključ i uputstvo za žrtvu koja treba da pošalje email na email adresu [email protected] ili [email protected] da bii dobila uputstvo kako da plati otkupninu.

Na kraju, ransomware preuzima sliku koju će sačuvati u %UserProfile%, pod nazivom 2d5s8g4ed.jpg. Ta slika će biti iskorišćena kao wallpaper.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje