Ransomware Fantom mátl uživatele, tvářil se jako aktualizace Windows

13. 9. 2016 v sekci Článek

Hrozby typu ransomware zažívají v poslední době masivní nárůst a rozmach. Objevují se organizované skupiny, už zde máme ransomware jako službu, kybernetičtí zločinci se stále více profesionalizují a jejich řady se rozšiřují, a to zejména díky pohodlným nástrojům, se kterými si může „zbastlit“ vlastní ransomware vlastně každý. Takovým nástrojem je i oblíbený open-source kit EDA2, na němž vznikl i Fantom, ransomware, který se na první pohled tváří jako aktualizace operačního systému Windows.

Už jsme viděli řadu okázalých ransomwarů – Jigsaw Ransomware nebo The Ded Cryptor vám jasně dají najevo, že se děje něco nekalého. Fantom se vydal jinou cestou, na první pohled totiž působí jako důležitá systémová aktualizace operačního systému. Dokonce ve výpisu vlastností závadného WindowsUpdate.exe najdete legitimně se tvářící copyright Microsoftu.

Útočníci si přitom na Fantomovi a jeho vizuálu skutečně dali záležet, takže na první pohled nic nenasvědčuje tomu, že jde o škodlivou aplikaci. Po spuštění se dokonce objeví velmi přesvědčivá obrazovka informující o průběhu „updatu“ (tedy ve skutečnosti procesu šifrování dat). Tvůrci Fantoma zašli tak daleko, že lze průběh falešného updatu zdánlivě i přerušit pomocí obligátní kombinace kláves Ctlr+F4, na pozadí však bude Fantom stále vykonávat svou „práci“.

Fantom využívá náhodného AES-128bitového klíče, který šifruje pomocí RSA, obsah následně uploaduje na C&C server. Po zašifrování obdrží uživatel pokyny, které jsou napsané opravdu špatnou angličtinou, pro zaplacení „výkupného“, pro další informace jsou uvedeny kontaktní e-maily vedené na Yandex.ru a techmail.com.

Jak se ransomware Fantom šíří není zatím příliš známo, proto raději zopakuji, že obezřetnosti není nikdy dost. Nestahujte updaty z neoficiálních zdrojů, neotvírejte nevyžádané přílohy a hlavně si svá data pravidelně a důsledně zálohujte. Vyplatí se také zvolit robustní a komplexní bezpečnostní řešení.

 

Vaše SOCA

 






Tento web používá cookies. Více informací ROZUMÍM