Timp de citit: 2 minute
Fantom, un nou ransomware descoperit recent, lovește deghizat ca o actualizare legitimă a Microsoft Windows. Astfel, păcălește utilizatorii să-l descarce, deschizând astfel calea pentru încălcarea datelor...
Cercetatorul de programe malware Jakub Kroustek de la firma de securitate AVG a descoperit acest malware destul de sofisticat.
Ransomware-ul, după cum știm, se referă la malware-ul care îi ajută pe hackeri să blocheze sistemele și să cripteze fișierele utilizatorilor în așa fel încât să nu poată fi deschise sau utilizate. De asemenea, ransomware-ul oprește rularea aplicațiilor. Astfel, persoana care este afectată va trebui să plătească o răscumpărare hackerului(lor) pentru a-și restabili sistemul sau pentru a deschide și utiliza fișiere și aplicații. Atacurile ransomware cresc în număr în aceste zile; multe sunt organizaţiile cărora le-au căzut pradă Ransomware atacurile din ultimele luni.
Cum funcționează Fantom...
Fantom, care este un ransomware bazat pe proiectul open-source EDA2 ransomware, apare afișând un ecran de actualizare Windows fals. Acest ecran de actualizare vă face să credeți că Windows instalează o nouă actualizare critică. Chiar și proprietățile fișierului pentru ransomware te-ar face să crezi asta, afirmând că este de la Microsoft și va avea descrierea fișierului ca „Actualizare critică”.
Făcând să creadă că este o actualizare Windows autentică, s-ar putea să o executați. Acest lucru va face ca Ransomware extrageți și executați un alt program încorporat numit WindowsUpdate.exe și apoi va fi afișat un ecran de actualizare Windows fals. Acest ecran va suprapune toate Windows-urile active și nu veți putea trece la nicio altă aplicație deschisă. Veți vedea pe acest ecran de actualizare un procent care vă face să credeți că actualizarea Windows are loc, în timp ce în realitate fișierele dvs. sunt criptate pe măsură ce procentul crește. Deși combinația de taste Ctrl+F4 vă poate ajuta să închideți acest ecran dacă doriți, criptarea fișierului va continua în fundal.
Fantom, ca și alte ransomware bazate pe EDA2, va genera o cheie aleatorie AES-128 și o va cripta folosind RSA. Apoi va fi încărcat în serverul Command & Control al dezvoltatorilor de malware. Apoi scanează unitățile locale pentru fișiere care conțin extensii de fișiere vizate. Aceste fișiere sunt criptate folosind criptarea AES-128, fiecărui fișier criptat i se va adăuga extensia .fantom. În folderele în care Fantom criptează fișierele, va fi creată și o notă de răscumpărare DECRYPT_YOUR_FILES.HTML. Când criptarea este finalizată, Fantom va crea două fișiere batch care sunt executate; acestea vor șterge copiile de volum umbră și ecranul de actualizare fals pe care le-ați primit mai devreme.
Apoi, în sfârșit, vine nota de răscumpărare numită DECRYPT_YOUR_FILES.HTML. Aceasta va avea mențiunea că restaurarea datelor dvs. ar fi posibilă doar prin cumpărarea de parole de la ei. Vor fi instrucțiuni pentru a trimite un e-mail la fantomd12@yandex.ru sau fantom12@techemail.com, astfel încât să puteți primi instrucțiuni de plată. De asemenea, sunteți avertizat să nu încercați să restaurați fișierele spunând că v-ar putea distruge datele complet.
Deși hackerii folosesc diferite tactici pentru a lovi Ransomware, strategia folosită în cazul lui Fantom este una inteligentă. Atacatorii imită un ecran în care majoritatea utilizatorilor, inclusiv utilizatorii de afaceri, îl recunosc și chiar au încredere; este relativ ușor să-i faci pe oameni să creadă că primesc o actualizare Windows legitimă și, astfel, să-i faci să descarce Fantom. Acesta ar putea fi un indiciu către o tendință destul de periculoasă în ceea ce privește programele malware în general și ransomware în special.
Software de protecție împotriva ransomware
INCEPE O PROBĂ GRATUITĂ OBȚINEȚI-ȚI GRATUIT SCORECARDUL DE SECURITATE INSTANTANALĂ
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Mintând viitorul cu Adryenn Ashley. Accesați Aici.
- Sursa: https://blog.comodo.com/pc-security/ransomware-strikes-posing-windows-update/
- :este
- 7
- a
- Capabil
- activ
- adăugat
- TOATE
- și
- O alta
- aplicație
- Apps
- SUNT
- AS
- Atacuri
- înapoi
- Înapoi pe drumul cel bun
- fundal
- bazat
- BE
- fiind
- Crede
- credincios
- Bloca
- Blog
- afaceri
- Cumpărare
- by
- denumit
- nu poti
- transporta
- Continuă
- caz
- clic
- Închide
- COM
- combinaţie
- comparativ
- complet
- conţine
- Control
- ar putea
- crea
- a creat
- critic
- Periculos
- de date
- Zi
- descriere
- distruge
- Dezvoltatorii
- diferit
- a descoperit
- afișarea
- Descarca
- fiecare
- Mai devreme
- încorporat
- criptate
- criptare
- Chiar
- eveniment
- a executa
- extensie
- extensii
- extrage
- fals
- Căzut
- Fantom
- Fișier
- Fişiere
- În cele din urmă
- Firmă
- Pentru
- Gratuit
- din
- General
- genera
- obține
- obtinerea
- hackeri
- Avea
- ajutor
- ajută
- HTML
- HTTPS
- in
- Inclusiv
- Creșteri
- crescând
- Instalarea
- clipă
- instrucțiuni
- IT
- jpg
- Cheie
- Cunoaște
- conduce
- Conduce
- ca
- local
- face
- malware
- multe
- Microsoft
- Microsoft Windows
- ar putea
- luni
- cele mai multe
- Nou
- număr
- of
- on
- ONE
- deschide
- open-source
- deschis
- organizații
- Altele
- special
- Parolele
- Pavaj
- Plătește
- plată
- oameni
- procent
- persoană
- PHP
- Loc
- Plato
- Informații despre date Platon
- PlatoData
- posibil
- Program
- proiect
- proprietăţi
- protecţie
- aleator
- Răscumpărare
- Ransomware
- Atacuri Ransomware
- mai degraba
- Realitate
- a primi
- recent
- recent
- recunoaște
- se referă
- ceea ce privește
- cercetător
- restabilirea
- rsa
- RU
- funcţionare
- s
- scorecard
- Ecran
- securitate
- Umbră
- So
- sofisticat
- opriri
- Strategie
- grevă
- Grevele
- astfel de
- Intrerupator
- sistem
- sisteme
- tactică
- luare
- vizate
- acea
- Lor
- astfel
- Acestea
- timp
- la
- urmări
- tendință
- Încredere
- Actualizează
- încărcat
- utilizare
- utilizatorii
- volum
- Cale..
- Ce
- Ce este
- care
- în timp ce
- OMS
- voi
- ferestre
- cu
- ar
- Tu
- Ta
- zephyrnet
