Ransomware Fantom se pretvara da je Windows Update

Opisi virusa, 29.08.2016, 08:00 AM

Jakub Krustek iz kompanije AVG pre nekoliko dana primetio je novi ransomware koji prikazuje lažni ekran Windows Update tako da žrtva veruje da Windows instalira nova važna ažuriranja, dok ransomare u pozadini, krišom šifruje fajlove korisnika.

Ransomware koji je nazvan Fantom baziran je na kodu EDA2, eksperimentalnog ransomwarea otvorenog koda koga je prošle godine objavio turski bezbednosni istraživač Utku Sen.

EDA2 je imao propuste koji su omogućili istraživačima da dođu do ključeva za dešifrovanje sa komando-kontrolnog (C&C) servera ransomwarea.

Nažalost, ovih propusta više nema, što znači da su ih autori Fantoma pronašli i ispravili ih, i da trenutno nije moguće dešifrovati fajlove koje je šifrovao Fantom i da se načini na koje se dolazi do ključeva za ransomwaree koji su bazirani na kodu EDA2 u ovom slučaju nisu od koristi.

Kako se ovaj ransomware širi za sada se ne zna. Sajber kriminalci ovu vrstu malvera najčešće šire ili preko spam emailova ili pomoću exploit alata.

U svakom slučaju, fajl koji sadrži ransomware je nazvan criticalupdate01.exe. Autori Fantoma očigledno žele da iskoriste “Windows Security Update” da bi prevarili korisnike da pokrenu maliciozni fajl. Ako žrtva pogleda svojstva fajla (file properites) videće da je fajl navodno Microsoftov i da je naziv fajla “critical update kb01”.

Kada se taj fajl pokrene, ransomware kreće u akciju i prikazuje lažni ekran Windows Update sa procentima učitavanja, koji liči na originalni ekran Windows Update. Ovaj lažni ekran sakiva ono što se zaista dešava na računaru a to je šifrovanje fajlova. Ekran može biti uklonjen pre nego što dostigne 100% ako se istovremeno pritisnu tasteri Ctrl i F4, ali nažalost, to neće zaustaviti šifrovanje fajlova.

MalwareHunterTeam analizirao je kod malvera i zaključio da Fantom kao i drugi na EDA2 bazirani ransomwarei, generiše AES-128 ključ, šifruje ga koristeći RSA, i zatim ga šalje komando-kontrolnom (C&C) serveru koji kontrolišu kriminalci.

Fantom zatim traži fajlove sa određenim ekstenzijama i šifruje ih koristeći AES-128 enkripciju. Kada šifruje fajl, Fantom mu dodaje ekstenziju .fantom. Na primer, fajl apple.jpg kada se šifruje biće apple.jpg.fantom. U svakom folderu u kome šifruje fajlove, Fantom ostavlja DECRYPT_YOUR_FILES.HTML fajl.

Fantom briše shadow volume kopije i lažni exe fajl Windows Update.

Ransomware prikazuje obaveštenje o otkupnini koje sadrži ID ključ i uputstvo za žrtvu koja treba da pošalje email na email adresu fantomd12@yandex.ru ili fantom12@techemail.com da bii dobila uputstvo kako da plati otkupninu.

Na kraju, ransomware preuzima sliku koju će sačuvati u %UserProfile%, pod nazivom 2d5s8g4ed.jpg. Ta slika će biti iskorišćena kao wallpaper.