Læsetid: 2 minutter
Fantom, en ny ransomware, der blev opdaget for nylig, rammer forklædt som en legitim Microsoft Windows-opdatering. Således narrer det brugerne til at downloade det, og baner derved vejen for databrud...
Malwareforsker Jakub Kroustek fra sikkerhedsfirmaet AVG har opdaget denne ret sofistikerede malware.
Ransomware refererer som bekendt til den malware, der hjælper hackere med at blokere systemer og kryptere brugernes filer på en sådan måde, at de ikke kan åbnes eller bruges. Ransomware stopper også apps i at køre. Den person, der er berørt, skal således betale en løsesum til hackeren(e) for at få sit system tilbage på sporet eller for at åbne og bruge filer og apps. Ransomware-angreb er stigende i antal i disse dage; mange er de organisationer, der er blevet ofre for ransomware angreb i de seneste måneder.
Sådan fungerer Fantom...
Fantom, som er en ransomware baseret på open-source EDA2 ransomware-projektet, vises med en falsk Windows Update-skærm. Denne opdateringsskærm får dig til at tro, at Windows installerer en ny kritisk opdatering. Selv filegenskaberne for ransomwaren ville få dig til at tro det, idet den angiver, at den er fra Microsoft og vil have filbeskrivelsen som 'Kritisk opdatering'.
Ledet til at tro, at det er en ægte Windows-opdatering, kan du udføre den. Dette vil gøre ransomware udpak og kør et andet indlejret program kaldet WindowsUpdate.exe, og derefter vil en falsk Windows Update-skærm blive vist. Denne skærm vil overlejre alle aktive Windows, og du vil ikke være i stand til at skifte til nogen anden åben applikation. Du vil se på denne opdateringsskærm en procentdel, der får dig til at tro, at Windows-opdateringen finder sted, mens dine filer i virkeligheden bliver krypteret, efterhånden som procentdelen stiger. Selvom Ctrl+F4-tastekombinationen kan hjælpe dig med at lukke denne skærm, hvis du vil, ville filkrypteringen fortsætte i baggrunden.
Fantom vil, ligesom andre EDA2-baserede ransomware, generere en tilfældig AES-128 nøgle og kryptere den ved hjælp af RSA. Derefter vil det blive uploadet til kommando- og kontrolserveren for malwareudviklerne. Derefter scanner den lokale drev for filer, der indeholder målrettede filtypenavne. Disse filer er krypteret ved hjælp af AES-128-kryptering, til hver krypteret fil vil blive tilføjet filtypenavnet .fantom. I mapper, hvor Fantom krypterer filer, vil der også blive oprettet en løsesumseddel DECRYPT_YOUR_FILES.HTML. Når krypteringen er færdig, vil Fantom oprette to batchfiler, der udføres; disse vil slette skyggevolumen-kopierne og den falske opdateringsskærm, som du havde fået tidligere.
Så kommer endelig løsesumsedlen kaldet DECRYPT_YOUR_FILES.HTML. Dette vil have den omtale, at gendannelse af dine data kun ville være mulig ved at købe adgangskoder fra dem. Der vil være instruktioner til at sende en e-mail til fantomd12@yandex.ru eller fantom12@techemail.com, så du kan modtage betalingsinstruktioner. Du er også advaret om ikke at forsøge at gendanne filer, der siger, at det kan ødelægge dine data fuldstændigt.
Selvom hackere bruger forskellige taktikker til at slå til med ransomware, den strategi, der blev brugt i tilfældet Fantom, er smart. Angriberne efterligner en skærm, som de fleste brugere, inklusive forretningsbrugere, genkender og endda stoler på; det er forholdsvis nemt at få folk til at tro, at de får en legitim Windows-opdatering og dermed få dem til at downloade Fantom. Dette kunne være et fingerpeg om en ret farlig tendens med hensyn til malware generelt og ransomware i særdeleshed.
Ransomware beskyttelsessoftware
START GRATIS PRØVNING FÅ DIT ØJEBLIKKE SIKKERHEDSSCORECARD GRATIS
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Kilde: https://blog.comodo.com/pc-security/ransomware-strikes-posing-windows-update/
- :er
- 7
- a
- I stand
- aktiv
- tilføjet
- Alle
- ,
- En anden
- Anvendelse
- apps
- ER
- AS
- Angreb
- tilbage
- tilbage på sporet
- baggrund
- baseret
- BE
- være
- Tro
- tro
- Bloker
- Blog
- virksomhed
- Købe
- by
- kaldet
- kan ikke
- bære
- Fortsæt
- tilfælde
- klik
- Luk
- KOM
- kombination
- forholdsvis
- fuldstændig
- indeholder
- kontrol
- kunne
- skabe
- oprettet
- kritisk
- Dangerous
- data
- Dage
- beskrivelse
- ødelægge
- udviklere
- forskellige
- opdaget
- visning
- downloade
- hver
- tidligere
- indlejret
- krypteret
- kryptering
- Endog
- begivenhed
- udføre
- udvidelse
- udvidelser
- ekstrakt
- falsk
- Fallen
- Fantom
- File (Felt)
- Filer
- Endelig
- Firm
- Til
- Gratis
- fra
- Generelt
- generere
- få
- få
- hackere
- Have
- hjælpe
- hjælper
- HTML
- HTTPS
- in
- Herunder
- Stigninger
- stigende
- installation
- øjeblikkelig
- anvisninger
- IT
- jpg
- Nøgle
- Kend
- føre
- Leads
- ligesom
- lokale
- lave
- malware
- mange
- microsoft
- Microsoft Windows
- måske
- måned
- mest
- Ny
- nummer
- of
- on
- ONE
- åbent
- open source
- åbnet
- organisationer
- Andet
- særlig
- Nulstilling/ændring af adgangskoder
- Bane
- Betal
- betaling
- Mennesker
- procentdel
- person,
- PHP
- Place
- plato
- Platon Data Intelligence
- PlatoData
- mulig
- Program
- projekt
- egenskaber
- beskyttelse
- tilfældig
- Ransom
- ransomware
- Ransomware angreb
- hellere
- Reality
- modtage
- nylige
- for nylig
- genkende
- refererer
- hilsen
- forsker
- genoprette
- rsa
- RU
- kører
- s
- scorecard
- Skærm
- sikkerhed
- Shadow
- So
- sofistikeret
- stopper
- Strategi
- strejke
- Strejker
- sådan
- Kontakt
- systemet
- Systemer
- taktik
- tager
- målrettet
- at
- Them
- derved
- Disse
- tid
- til
- spor
- Trend
- Stol
- Opdatering
- uploadet
- brug
- brugere
- bind
- Vej..
- Hvad
- Hvad er
- som
- mens
- WHO
- vilje
- vinduer
- med
- ville
- Du
- Din
- zephyrnet
