Lunavara, mis poseerib end Windowsi värskendusena

Lugemisaeg: 2 protokoll

Hiljuti avastatud uus lunavara Fantom ründab seadusliku Microsoft Windowsi värskendusena. Seega meelitab see kasutajaid seda alla laadima, sillutades sellega teed andmete rikkumisele…
Pahavarauurija Jakub Kroustek turvafirmast AVG avastas selle üsna keeruka pahavara.

Lunavara, nagu me teame, viitab pahavarale, mis aitab häkkeritel süsteeme blokeerida ja kasutajate faile krüpteerida nii, et neid ei saa avada ega kasutada. Lunavara peatab ka rakenduste töötamise. Seega peab mõjutatud isik maksma häkkeri(te)le lunaraha, et oma süsteem uuesti õigele teele saada või faile ja rakendusi avada ja kasutada. Tänapäeval suureneb lunavararünnakute arv; paljud on organisatsioonid, kes on ohvriks langenud ransomware rünnakud viimastel kuudel.

Kuidas Fantom töötab…

Fantom, mis on avatud lähtekoodiga EDA2 lunavaraprojektil põhinev lunavara, kuvatakse võltsitud Windowsi värskenduste ekraaniga. See värskendusekraan paneb teid uskuma, et Windows installib uue kriitilise värskenduse. Isegi lunavara failiatribuudid panevad teid seda uskuma, kui öeldakse, et see pärineb Microsoftilt ja selle faili kirjeldus on "kriitiline värskendus".

Kui te arvate, et tegemist on ehtsa Windowsi värskendusega, võite selle käivitada. See muudab ransomware ekstraktige ja käivitage mõni muu manustatud programm nimega WindowsUpdate.exe ning seejärel kuvatakse võltsitud Windows Update'i ekraan. See ekraan katab kõik aktiivsed Windowsid ja te ei saa lülituda ühelegi teisele avatud rakendusele. Sellel värskendusekraanil näete protsenti, mis paneb teid uskuma, et Windowsi värskendus toimub, kuigi tegelikkuses teie faile krüpteeritakse, kui protsent suureneb. Kuigi klahvikombinatsioon Ctrl+F4 võib aidata teil selle ekraani soovi korral sulgeda, jätkuks faili krüptimine taustal.

Fantom, nagu ka muu EDA2-põhine lunavara, genereerib juhusliku AES-128 võtme ja krüpteerib selle RSA abil. Seejärel laaditakse see üles pahavara arendajate käsu- ja juhtimisserverisse. Seejärel otsib see kohalikelt draividelt faile, mis sisaldavad sihitud faililaiendeid. Need failid krüpteeritakse AES-128 krüptimisega, igale krüptitud failile lisatakse laiend .fantom. Kaustadesse, kus Fantom faile krüpteerib, luuakse ka lunarahateatis DECRYPT_YOUR_FILES.HTML. Kui krüptimine on tehtud, loob Fantom kaks käivitatavat partiifaili; need kustutavad varem saadud varikoopiad ja võltsitud värskendusekraani.

Seejärel tuleb lõpuks lunarahateade nimega DECRYPT_YOUR_FILES.HTML. Siin on märge, et teie andmete taastamine on võimalik ainult neilt paroole ostes. Maksejuhiste saamiseks saadetakse juhised meili aadressile fantomd12@yandex.ru või fantom12@techemail.com. Samuti hoiatatakse teid, et ärge proovige faile taastada, öeldes, et see võib teie andmed täielikult hävitada.

Kuigi häkkerid kasutavad löömiseks erinevaid taktikaid ransomware, on Fantomi puhul kasutatav strateegia nutikas. Ründajad jäljendavad ekraani, mida enamik kasutajaid, sealhulgas ärikasutajaid, tunnevad ära ja isegi usaldavad; suhteliselt lihtne on panna inimesi uskuma, et nad saavad legitiimse Windowsi värskenduse ja seega panna nad Fantomi alla laadima. See võib viidata üsna ohtlikule suundumusele, mis puudutab pahavara üldiselt ja eriti lunavara.

Lunavara rünnakud

Lunavara kaitse tarkvara

ALUSTA TASUTA KATSET HANKIGE TASUTA OMA INSTANT TURVAKARTI

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
• Allikas: https://blog.comodo.com/pc-security/ransomware-strikes-posing-windows-update/