Ransomware qui apparaît comme une mise à jour Windows

Temps de lecture : 2 minutes

Fantom, un nouveau ransomware découvert récemment, apparaît déguisé en une mise à jour légitime de Microsoft Windows. Ainsi, il incite les utilisateurs à le télécharger, ouvrant ainsi la voie à une violation de données ...
Le chercheur en malwares Jakub Kroustek de la société de sécurité AVG a découvert ce malware plutôt sophistiqué.

Comme nous le savons, les ransomwares font référence aux logiciels malveillants qui aident les pirates à bloquer les systèmes et à crypter les fichiers des utilisateurs de manière à ce qu'ils ne puissent pas être ouverts ou utilisés. Ransomware empêche également les applications de s'exécuter. Ainsi, la personne concernée devra payer une rançon au (x) pirate (s) pour remettre son système sur les rails ou pour ouvrir et utiliser des fichiers et des applications. Les attaques de ransomwares sont de plus en plus nombreuses ces jours-ci; nombreuses sont les organisations qui sont devenues la proie de ransomware attentats au cours des derniers mois.

Comment fonctionne Fantom…

Fantom, qui est un ransomware basé sur le projet open-source de ransomware EDA2, semble afficher un faux écran de mise à jour Windows. Cet écran de mise à jour vous amène à croire que Windows installe une nouvelle mise à jour critique. Même les propriétés du fichier pour le ransomware vous le feraient croire, en déclarant qu'il provient de Microsoft et que la description du fichier sera `` Mise à jour critique ''.

Conduit à croire qu'il s'agit d'une véritable mise à jour Windows, vous pouvez l'exécuter. Cela rendra le ransomware extraire et exécuter un autre programme intégré appelé WindowsUpdate.exe, puis un faux écran Windows Update s'affiche. Cet écran superposera toutes les fenêtres actives et vous ne pourrez passer à aucune autre application ouverte. Vous verriez sur cet écran de mise à jour un pourcentage qui vous amène à croire que la mise à jour de Windows est en cours alors qu'en réalité vos fichiers sont cryptés à mesure que le pourcentage augmente. Bien que la combinaison de touches Ctrl + F4 puisse vous aider à fermer cet écran si vous le souhaitez, le cryptage du fichier se poursuivra en arrière-plan.

Fantom, comme les autres ransomwares basés sur EDA2, générera une clé AES-128 aléatoire et la chiffrera à l'aide de RSA. Ensuite, il sera téléchargé sur le serveur Command & Control des développeurs de logiciels malveillants. Ensuite, il analyse les lecteurs locaux à la recherche de fichiers contenant des extensions de fichier ciblées. Ces fichiers sont cryptés à l'aide du cryptage AES-128, à chaque fichier crypté sera ajoutée l'extension .fantom. Dans les dossiers dans lesquels Fantom crypte les fichiers, une note de rançon DECRYPT_YOUR_FILES.HTML sera également créée. Lorsque le cryptage est terminé, Fantom créera deux fichiers batch qui seront exécutés; ceux-ci supprimeront les copies de volume d'ombre et le faux écran de mise à jour que vous aviez précédemment.

Puis vient enfin la note de rançon appelée DECRYPT_YOUR_FILES.HTML. Cela indiquera que la restauration de vos données ne serait possible qu'en achetant des mots de passe auprès d'eux. Il y aura des instructions pour envoyer un e-mail à fantomd12@yandex.ru ou fantom12@techemail.com afin que vous puissiez recevoir les instructions de paiement. Vous êtes également averti de ne pas essayer de restaurer des fichiers en disant que cela pourrait détruire complètement vos données.

Bien que les pirates utilisent différentes tactiques pour frapper ransomware, la stratégie utilisée dans le cas de Fantom est intelligente. Les attaquants imitent un écran que la plupart des utilisateurs, y compris les utilisateurs professionnels, reconnaissent et font même confiance; il est relativement facile de faire croire aux gens qu'ils reçoivent une mise à jour Windows légitime et de les amener ainsi à télécharger Fantom. Cela pourrait indiquer une tendance plutôt dangereuse en ce qui concerne les logiciels malveillants en général et les ransomwares en particulier.

Attaques de ransomware

Logiciel de protection contre les ransomwares

COMMENCER L'ESSAI GRATUIT OBTENEZ GRATUITEMENT VOTRE SCORECARD DE SÉCURITÉ INSTANTANÉE

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
• Frapper l'avenir avec Adryenn Ashley. Accéder ici.
• La source: https://blog.comodo.com/pc-security/ransomware-strikes-posing-windows-update/