Ransomware som slår ut som Windows Update

Ransomware som slår ut som Windows Update

Tidsstempel: 8. september 2016 1:16

ransomware Lesetid: 2 minutter

Fantom, en ny ransomware som nylig ble oppdaget, slår forkledd som en legitim Microsoft Windows-oppdatering. Dermed lurer det brukere til å laste ned det, og dermed baner vei for databrudd ...
Malwareforsker Jakub Kroustek i sikkerhetsfirmaet AVG har oppdaget denne ganske sofistikerte malware.

Ransomware refererer som kjent til skadelig programvare som hjelper hackere å blokkere systemer og kryptere brukernes filer på en slik måte at de ikke kan åpnes eller brukes. Ransomware stopper også apper fra å kjøre. Dermed må personen som er berørt betale løsepenger til hackeren (e) for å få systemet sitt på sporet igjen eller for å åpne og bruke filer og apper. Ransomware-angrep øker i antall i disse dager; mange er organisasjonene som har falt i bytte for ransomware angrep de siste månedene.

Hvordan Fantom fungerer ...

Fantom, som er en ransomware basert på open source EDA2 ransomware-prosjektet, ser ut som en falsk Windows Update-skjerm. Denne oppdateringsskjermen fører deg til å tro at Windows installerer en ny kritisk oppdatering. Selv filegenskapene for ransomware vil få deg til å tro det, og si at det er fra Microsoft og vil ha filbeskrivelsen som "Kritisk oppdatering".

Ledet til å tro at det er en ekte Windows-oppdatering, kan du utføre den. Dette vil gjøre ransomware pakke ut og utføre et annet innebygd program kalt WindowsUpdate.exe, og deretter vises en falsk Windows Update-skjerm. Denne skjermen vil legge over alle aktive Windows, og du vil ikke kunne bytte til noe annet åpent program. Du vil se på denne oppdateringsskjermen en prosentandel som fører deg til å tro at Windows-oppdateringen pågår mens filene dine i realiteten blir kryptert når prosentandelen øker. Selv om Ctrl + F4-tastekombinasjon kan hjelpe deg med å lukke dette skjermbildet hvis du vil, vil filkrypteringen fortsette i bakgrunnen.

Fantom, som annen EDA2-basert ransomware, vil generere en tilfeldig AES-128-nøkkel og kryptere den ved hjelp av RSA. Deretter blir den lastet opp til Command & Control-serveren til malwareutviklerne. Deretter skanner den lokale stasjoner for filer som inneholder målrettede filutvidelser. Disse filene er kryptert ved hjelp av AES-128-kryptering, til hver krypterte fil vil utvidelsen .fantom legges til. I mapper der Fantom krypterer filer, blir det også opprettet et løsepengernotat DECRYPT_YOUR_FILES.HTML. Når krypteringen er ferdig, vil Fantom opprette to batchfiler som kjøres; disse vil slette skyggevolumekopiene og den falske oppdateringsskjermen som du hadde tidligere.

Så kommer endelig løsepenger som heter DECRYPT_YOUR_FILES.HTML. Dette vil være nevnt at å gjenopprette dataene dine bare ville være mulig ved å kjøpe passord fra dem. Det vil være instruksjonene om å sende en e-post til fantomd12@yandex.ru eller fantom12@techemail.com slik at du kan motta betalingsinstruksjoner. Du blir også advart om ikke å prøve å gjenopprette filer og si at det kan ødelegge dataene dine fullstendig.

Selv om hackere bruker forskjellige taktikker for å slå til ransomware, strategien som ble brukt i tilfelle Fantom er en smart strategi. Angriperne etterligner en skjerm som de fleste brukere, inkludert forretningsbrukere, kjenner igjen og til og med stoler på; det er relativt enkelt å få folk til å tro at de får en legitim Windows-oppdatering og dermed føre dem til å laste ned Fantom. Dette kan være en pekepinn til en ganske farlig trend når det gjelder skadelig programvare generelt og ransomware spesielt.

Ransomware-angrep

Programvare for beskyttelse mot ransomware

START GRATIS PRØVEPERIODE FÅ DIN KJENTE SIKKERHETSSCORECARD GRATIS

Tidstempel:

Mer fra CyberSecurity Comodo