Ransomware tấn công khi cập nhật Windows

Ransomware tấn công khi cập nhật Windows

Dấu thời gian: 8:2016 PM ngày 1 tháng 16 năm XNUMX

ransomware Thời gian đọc: 2 phút

Fantom, một ransomware mới được phát hiện gần đây, đã tấn công được ngụy trang dưới dạng một bản cập nhật Windows hợp pháp của Microsoft. Do đó, nó đánh lừa người dùng tải xuống, do đó mở đường cho việc vi phạm dữ liệu…
Nhà nghiên cứu phần mềm độc hại Jakub Kroustek của hãng bảo mật AVG đã phát hiện ra phần mềm độc hại khá tinh vi này.

Ransomware, như chúng ta biết, đề cập đến phần mềm độc hại giúp tin tặc chặn hệ thống và mã hóa tệp của người dùng theo cách không thể mở hoặc sử dụng chúng. Ransomware cũng ngăn các ứng dụng chạy. Do đó, người bị ảnh hưởng sẽ phải trả tiền chuộc cho (các) tin tặc để hệ thống của họ hoạt động trở lại hoặc để mở và sử dụng các tệp và ứng dụng. Các cuộc tấn công ransomware đang gia tăng về số lượng những ngày này; nhiều tổ chức đã trở thành con mồi của ransomware các cuộc tấn công trong những tháng gần đây.

Cách hoạt động của Fantom…

Fantom, là một ransomware dựa trên dự án ransomware mã nguồn mở EDA2, xuất hiện trên màn hình Windows Update giả mạo. Màn hình cập nhật này khiến bạn tin rằng Windows đang cài đặt một bản cập nhật quan trọng mới. Ngay cả các thuộc tính tệp cho ransomware cũng sẽ khiến bạn tin vào điều đó, nói rằng nó đến từ Microsoft và sẽ có mô tả tệp là 'Cập nhật quan trọng'.

Khi tin rằng đó là bản cập nhật Windows chính hãng, bạn có thể thực thi nó. Điều này sẽ làm cho ransomware giải nén và thực thi một chương trình nhúng khác có tên là WindowsUpdate.exe và sau đó màn hình Windows Update giả mạo sẽ được hiển thị. Màn hình này sẽ phủ lên tất cả Windows đang hoạt động và bạn sẽ không thể chuyển sang bất kỳ ứng dụng đang mở nào khác. Bạn sẽ thấy trên màn hình cập nhật này một tỷ lệ phần trăm khiến bạn tin rằng bản cập nhật Windows đang diễn ra trong khi thực tế các tệp của bạn đang được mã hóa khi tỷ lệ phần trăm tăng lên. Mặc dù tổ hợp phím Ctrl + F4 có thể giúp bạn đóng màn hình này nếu bạn muốn, nhưng quá trình mã hóa tệp sẽ được thực hiện ở chế độ nền.

Fantom, giống như các ransomware dựa trên EDA2 khác, sẽ tạo ra một khóa AES-128 ngẫu nhiên và mã hóa nó bằng RSA. Sau đó, nó sẽ được tải lên máy chủ Command & Control của các nhà phát triển phần mềm độc hại. Sau đó, nó sẽ quét các ổ đĩa cục bộ để tìm các tệp có chứa phần mở rộng tệp được nhắm mục tiêu. Các tệp này được mã hóa bằng mã hóa AES-128, mỗi tệp được mã hóa sẽ được thêm phần mở rộng .fantom. Trong các thư mục trong đó Fantom mã hóa tệp, ghi chú đòi tiền chuộc DECRYPT_YOUR_FILES.HTML cũng sẽ được tạo. Khi mã hóa được thực hiện xong, Fantom sẽ tạo ra hai tệp hàng loạt được thực thi; chúng sẽ xóa các bản sao âm lượng bóng và màn hình cập nhật giả mà bạn đã có trước đó.

Sau đó, cuối cùng là ghi chú đòi tiền chuộc có tên DECRYPT_YOUR_FILES.HTML. Điều này sẽ đề cập đến việc khôi phục dữ liệu của bạn chỉ có thể thực hiện được bằng cách mua mật khẩu từ họ. Sẽ có hướng dẫn gửi đến email fantomd12@yandex.ru hoặc fantom12@techemail.com để bạn có thể nhận được hướng dẫn thanh toán. Bạn cũng được cảnh báo là không nên cố gắng khôi phục các tệp nói rằng nó có thể phá hủy hoàn toàn dữ liệu của bạn.

Mặc dù tin tặc sử dụng các chiến thuật khác nhau để tấn công ransomware, chiến lược được sử dụng trong trường hợp của Fantom là một chiến lược thông minh. Những kẻ tấn công bắt chước một màn hình mà hầu hết người dùng, bao gồm cả người dùng doanh nghiệp, nhận ra và thậm chí tin tưởng; tương đối dễ khiến mọi người tin rằng họ đang nhận được bản cập nhật Windows hợp pháp và do đó dẫn họ tải xuống Fantom. Đây có thể là một dấu hiệu cho thấy một xu hướng khá nguy hiểm liên quan đến phần mềm độc hại nói chung và ransomware nói riêng.

Tấn công Ransomware

Phần mềm bảo vệ ransomware

BẮT ĐẦU DÙNG THỬ MIỄN PHÍ NHẬN MIỄN PHÍ SCORECARD NGAY LẬP TỨC

Dấu thời gian:

Thêm từ An ninh mạng Comodo