เวลาอ่านหนังสือ: 2 นาที
Fantom แรนซัมแวร์ตัวใหม่ที่ค้นพบเมื่อเร็วๆ นี้ โจมตีโดยปลอมแปลงเป็นการอัปเดต Microsoft Windows ที่ถูกต้องตามกฎหมาย ดังนั้นมันจึงหลอกให้ผู้ใช้ดาวน์โหลด จึงเป็นการปูทางสำหรับการละเมิดข้อมูล...
นักวิจัยมัลแวร์ Jakub Kroustek จากบริษัทรักษาความปลอดภัย AVG ได้ค้นพบมัลแวร์ที่ค่อนข้างซับซ้อนนี้
ตามที่เราทราบ Ransomware หมายถึงมัลแวร์ที่ช่วยให้แฮกเกอร์บล็อกระบบและเข้ารหัสไฟล์ของผู้ใช้ในลักษณะที่ไม่สามารถเปิดหรือใช้งานได้ Ransomware ยังหยุดไม่ให้แอปทำงาน ดังนั้นผู้ที่ได้รับผลกระทบจะต้องจ่ายค่าไถ่ให้กับแฮ็กเกอร์เพื่อให้ระบบของเขากลับมาทำงานได้อีกครั้งหรือเปิดและใช้ไฟล์และแอป การโจมตีของแรนซัมแวร์มีจำนวนเพิ่มขึ้นในทุกวันนี้ หลายองค์กรที่ตกเป็นเหยื่อของ ransomware การโจมตีในช่วงหลายเดือนที่ผ่านมา
Fantom ทำงานอย่างไร…
Fantom ซึ่งเป็นแรนซัมแวร์ที่ใช้โปรเจ็กต์แรนซัมแวร์ EDA2 แบบโอเพนซอร์ส ปรากฏขึ้นพร้อมแสดงหน้าจอ Windows Update ปลอม หน้าจอการอัปเดตนี้ทำให้คุณเชื่อว่า Windows กำลังติดตั้งการอัปเดตที่สำคัญใหม่ แม้แต่คุณสมบัติของไฟล์สำหรับแรนซัมแวร์ก็จะทำให้คุณเชื่อว่ามาจาก Microsoft และจะมีคำอธิบายไฟล์เป็น 'Critical Update'
ทำให้เชื่อว่าเป็นการอัปเดต Windows ของแท้ คุณอาจดำเนินการได้ สิ่งนี้จะทำให้ ransomware แยกและรันโปรแกรมฝังตัวอื่นที่เรียกว่า WindowsUpdate.exe จากนั้นหน้าจอ Windows Update ปลอมจะปรากฏขึ้น หน้าจอนี้จะซ้อนทับ Windows ที่ใช้งานอยู่ทั้งหมด และคุณจะไม่สามารถเปลี่ยนไปใช้แอปพลิเคชันอื่นที่เปิดอยู่ได้ คุณจะเห็นเปอร์เซ็นต์ที่หน้าจออัปเดตนี้ทำให้คุณเชื่อว่ามีการอัปเดต Windows ในขณะที่ไฟล์ของคุณถูกเข้ารหัสเมื่อเปอร์เซ็นต์เพิ่มขึ้น แม้ว่าการกดคีย์ผสม Ctrl+F4 จะช่วยให้คุณปิดหน้าจอนี้ได้หากต้องการ แต่การเข้ารหัสไฟล์จะยังคงทำงานอยู่เบื้องหลัง
Fantom เช่นเดียวกับแรนซัมแวร์ที่ใช้ EDA2 อื่นๆ จะสร้างคีย์ AES-128 แบบสุ่มและเข้ารหัสโดยใช้ RSA จากนั้นจะถูกอัปโหลดไปยังเซิร์ฟเวอร์ Command & Control ของนักพัฒนามัลแวร์ จากนั้นจะสแกนไดรฟ์ในเครื่องเพื่อหาไฟล์ที่มีนามสกุลไฟล์เป้าหมาย ไฟล์เหล่านี้ได้รับการเข้ารหัสโดยใช้การเข้ารหัส AES-128 ไฟล์ที่เข้ารหัสแต่ละไฟล์จะถูกเพิ่มนามสกุล .fantom ในโฟลเดอร์ที่ Fantom เข้ารหัสไฟล์ จะมีการสร้างหมายเหตุเรียกค่าไถ่ DECRYPT_YOUR_FILES.HTML เมื่อการเข้ารหัสเสร็จสิ้น Fantom จะสร้างไฟล์แบตช์สองไฟล์ที่ดำเนินการ สิ่งเหล่านี้จะลบสำเนาไดรฟ์ข้อมูลเงาและหน้าจออัปเดตปลอมที่คุณได้รับก่อนหน้านี้
ในที่สุดก็มาถึงบันทึกเรียกค่าไถ่ที่เรียกว่า DECRYPT_YOUR_FILES.HTML ซึ่งจะกล่าวถึงการกู้คืนข้อมูลของคุณโดยการซื้อรหัสผ่านจากพวกเขาเท่านั้น จะมีคำแนะนำในการส่งอีเมลไปที่ fantomd12@yandex.ru หรือ fantom12@techemail.com เพื่อให้คุณสามารถรับคำแนะนำการชำระเงินได้ คุณยังได้รับการเตือนว่าอย่าพยายามกู้คืนไฟล์ที่บอกว่าไฟล์ดังกล่าวอาจทำลายข้อมูลของคุณได้อย่างสมบูรณ์
แม้ว่าแฮกเกอร์จะใช้กลวิธีต่างๆ ในการจู่โจมด้วย ransomwareกลยุทธ์ที่ใช้ในกรณีของ Fantom นั้นฉลาด ผู้โจมตีเลียนแบบหน้าจอที่ผู้ใช้ส่วนใหญ่ รวมถึงผู้ใช้ทางธุรกิจ รับรู้และไว้วางใจได้ ค่อนข้างง่ายที่จะชักนำให้ผู้คนเชื่อว่าพวกเขากำลังได้รับการอัปเดต Windows ที่ถูกต้องตามกฎหมาย และทำให้พวกเขาดาวน์โหลด Fantom นี่อาจเป็นตัวบ่งชี้ถึงแนวโน้มที่ค่อนข้างอันตรายในแง่ของมัลแวร์โดยทั่วไปและแรนซัมแวร์โดยเฉพาะ
เริ่มทดลองใช้ฟรี รับคะแนนความปลอดภัยทันทีของคุณฟรี
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ที่มา: https://blog.comodo.com/pc-security/ransomware-strikes-posing-windows-update/
- :เป็น
- 7
- a
- สามารถ
- คล่องแคล่ว
- ที่เพิ่ม
- ทั้งหมด
- และ
- อื่น
- การใช้งาน
- ปพลิเคชัน
- เป็น
- AS
- การโจมตี
- กลับ
- ย้อนกลับ
- พื้นหลัง
- ตาม
- BE
- กำลัง
- เชื่อ
- เชื่อว่า
- ปิดกั้น
- บล็อก
- ธุรกิจ
- การซื้อ
- by
- ที่เรียกว่า
- ไม่ได้
- พกพา
- ดำเนินการต่อ
- กรณี
- คลิก
- ปิดหน้านี้
- COM
- การผสมผสาน
- ติดจะ
- อย่างสมบูรณ์
- บรรจุ
- ควบคุม
- ได้
- สร้าง
- ที่สร้างขึ้น
- วิกฤติ
- Dangerous
- ข้อมูล
- วัน
- ลักษณะ
- ทำลาย
- นักพัฒนา
- ต่าง
- ค้นพบ
- แสดง
- ดาวน์โหลด
- แต่ละ
- ก่อน
- อีเมล
- ที่ฝัง
- ที่มีการเข้ารหัส
- การเข้ารหัสลับ
- แม้
- เหตุการณ์
- ดำเนินการ
- นามสกุล
- ส่วนขยาย
- สารสกัด
- เทียม
- ลดลง
- FANTOM
- เนื้อไม่มีมัน
- ไฟล์
- ในที่สุด
- บริษัท
- สำหรับ
- ฟรี
- ราคาเริ่มต้นที่
- General
- สร้าง
- ได้รับ
- ได้รับ
- แฮกเกอร์
- มี
- ช่วย
- จะช่วยให้
- HTML
- HTTPS
- in
- รวมทั้ง
- เพิ่มขึ้น
- ที่เพิ่มขึ้น
- การติดตั้ง
- ด่วน
- คำแนะนำการใช้
- IT
- jpg
- คีย์
- ทราบ
- นำ
- นำไปสู่
- กดไลก์
- ในประเทศ
- ทำ
- มัลแวร์
- หลาย
- ไมโครซอฟท์
- Microsoft Windows
- อาจ
- เดือน
- มากที่สุด
- ใหม่
- จำนวน
- of
- on
- ONE
- เปิด
- โอเพนซอร์ส
- เปิด
- องค์กร
- อื่นๆ
- ในสิ่งที่สนใจ
- รหัสผ่าน
- ปู
- ชำระ
- การชำระเงิน
- คน
- เปอร์เซ็นต์
- คน
- PHP
- สถานที่
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เป็นไปได้
- โครงการ
- โครงการ
- คุณสมบัติ
- การป้องกัน
- สุ่ม
- ค่าไถ่
- ransomware
- การโจมตีของแรนซัมแวร์
- ค่อนข้าง
- ความจริง
- รับ
- เมื่อเร็ว ๆ นี้
- เมื่อเร็ว ๆ นี้
- รับรู้
- หมายถึง
- ความนับถือ
- นักวิจัย
- การฟื้นฟู
- อาร์เอส
- RU
- วิ่ง
- s
- ดัชนีชี้วัด
- จอภาพ
- ความปลอดภัย
- เงา
- So
- ซับซ้อน
- หยุด
- กลยุทธ์
- โขก
- การนัดหยุดงาน
- อย่างเช่น
- สวิตซ์
- ระบบ
- ระบบ
- กลยุทธ์
- การ
- เป้าหมาย
- ที่
- พื้นที่
- พวกเขา
- ดังนั้น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- เวลา
- ไปยัง
- ลู่
- เทรนด์
- วางใจ
- บันทึก
- อัปโหลด
- ใช้
- ผู้ใช้
- ปริมาณ
- ทาง..
- อะไร
- ความหมายของ
- ที่
- ในขณะที่
- WHO
- จะ
- หน้าต่าง
- กับ
- จะ
- คุณ
- ของคุณ
- ลมทะเล