Ransomware Fantom se pretvara da je Windows Update

Opisi virusa, 29.08.2016, 08:00 AM

Ransomware Fantom se pretvara da je Windows Update

Jakub Krustek iz kompanije AVG pre nekoliko dana primetio je novi ransomware koji prikazuje lažni ekran Windows Update tako da žrtva veruje da Windows instalira nova važna ažuriranja, dok ransomare u pozadini, krišom šifruje fajlove korisnika.

Ransomware koji je nazvan Fantom baziran je na kodu EDA2, eksperimentalnog ransomwarea otvorenog koda koga je prošle godine objavio turski bezbednosni istraživač Utku Sen.

EDA2 je imao propuste koji su omogućili istraživačima da dođu do ključeva za dešifrovanje sa komando-kontrolnog (C&C) servera ransomwarea.

Nažalost, ovih propusta više nema, što znači da su ih autori Fantoma pronašli i ispravili ih, i da trenutno nije moguće dešifrovati fajlove koje je šifrovao Fantom i da se načini na koje se dolazi do ključeva za ransomwaree koji su bazirani na kodu EDA2 u ovom slučaju nisu od koristi.

Kako se ovaj ransomware širi za sada se ne zna. Sajber kriminalci ovu vrstu malvera najčešće šire ili preko spam emailova ili pomoću exploit alata.

U svakom slučaju, fajl koji sadrži ransomware je nazvan criticalupdate01.exe. Autori Fantoma očigledno žele da iskoriste “Windows Security Update” da bi prevarili korisnike da pokrenu maliciozni fajl. Ako žrtva pogleda svojstva fajla (file properites) videće da je fajl navodno Microsoftov i da je naziv fajla “critical update kb01”.

Kada se taj fajl pokrene, ransomware kreće u akciju i prikazuje lažni ekran Windows Update sa procentima učitavanja, koji liči na originalni ekran Windows Update. Ovaj lažni ekran sakiva ono što se zaista dešava na računaru a to je šifrovanje fajlova. Ekran može biti uklonjen pre nego što dostigne 100% ako se istovremeno pritisnu tasteri Ctrl i F4, ali nažalost, to neće zaustaviti šifrovanje fajlova.

MalwareHunterTeam analizirao je kod malvera i zaključio da Fantom kao i drugi na EDA2 bazirani ransomwarei, generiše AES-128 ključ, šifruje ga koristeći RSA, i zatim ga šalje komando-kontrolnom (C&C) serveru koji kontrolišu kriminalci.

Fantom zatim traži fajlove sa određenim ekstenzijama i šifruje ih koristeći AES-128 enkripciju. Kada šifruje fajl, Fantom mu dodaje ekstenziju .fantom. Na primer, fajl apple.jpg kada se šifruje biće apple.jpg.fantom. U svakom folderu u kome šifruje fajlove, Fantom ostavlja DECRYPT_YOUR_FILES.HTML fajl.

Fantom briše shadow volume kopije i lažni exe fajl Windows Update.

Ransomware prikazuje obaveštenje o otkupnini koje sadrži ID ključ i uputstvo za žrtvu koja treba da pošalje email na email adresu [email protected] ili [email protected] da bii dobila uputstvo kako da plati otkupninu.

Na kraju, ransomware preuzima sliku koju će sačuvati u %UserProfile%, pod nazivom 2d5s8g4ed.jpg. Ta slika će biti iskorišćena kao wallpaper.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Matanbuchus 3.0: Povratak opasnog malvera

Matanbuchus 3.0: Povratak opasnog malvera

Istraživači sajber bezbednosti iz Morphisec-a upozorili su na novu verziju poznatog malvera Matanbuchus. U pitanju je sofisticirani “loader&rd... Dalje

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje

Novi opasni ransomware briše sadržaj fajlova na uređajima

Novi opasni ransomware briše sadržaj fajlova na uređajima

Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje

Malver Acreed: nova zvezda na crnom sajber-tržištu

Malver Acreed: nova zvezda na crnom sajber-tržištu

Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje