06.09.2016, 10:01
[Aby zobaczyć linki, zarejestruj się tutaj]
Fantom to coś nierzeczywistego...zjawa, przewidzenie, złudzenie....i chyba to ostatnie określenie pasuje do nazwy niedawno odkrytego przez AVG szkodnika szyfrującego o nazwie Fantom. Opisuje go w swoim artykule Kaspersky Lab i stamtąd cytat
Cytat:Z technicznego punktu widzenia Fantom nie różni się niczym od sobie podobnych. Do jego utworzenia użyto otwartego kodu źródłowego charakterystycznego dla szkodliwych programów — EDA2, który został powstał w wyniku nieudanego eksperymentu użytkownika Utku Sen. Jest to jeden z wielu programów typu kryptobloker (blokuje i szyfruje pliki) opartych na EDA2, lecz sposób, w jaki Fantom maskuje swoje działanie, jest mocno przesadzony.
Na chwilę obecną nie wiemy, w jaki sposób rozprzestrzenia się Fantom. Po przedostaniu się do komputera rozpoczyna standardowe działanie programu typu ransomware: tworzy klucz szyfrowania, szyfruje go, a następnie przechowuje na serwerze kontroli w celu późniejszego użycia.
Później trojan skanuje komputer, poszukując typów plików, które może zaszyfrować (jest ich aż ponad 350, w tym popularne formaty dokumentów biurowych, pliki muzyczne i obrazy). Wspomnianego wcześniej klucza używa do zaszyfrowania ich, a do nazw plików dodaje rozszerzenie .fantom. Wszystko to dzieje się w tle, ale najciekawsze jest to, co się dzieje na oczach ofiary.
Zanim przejdziemy dalej, warto wspomnieć, że ten program żądający okupu podszywa się pod krytyczne aktualizacje systemu Windows. Szkodliwy program uruchamia nie jeden, lecz dwa programy: jeden szyfrujący, a drugi mniejszy o niewinnie brzmiącej nazwie WindowsUpdate.exe.
Ten ostatni jest wykorzystywany do symulowania oryginalnego ekranu Windows Update (niebieski ekran, który informuje o uaktualnianiu Windowsa). Gdy Fantom szyfruje pliki użytkownika w tle, na ekranie wyświetlana jest informacja o postępie „aktualizacji” (a w rzeczywistości: szyfrowania).
Ma to na celu odciągnięcie uwagi użytkownika od szkodliwego działania wykonywanego na danym urządzeniu. Fałszywa aktualizacja Windows Update działa w trybie pełnoekranowym, blokując wizualnie dostęp do innych programów.
Gdy użytkownik zaczynie coś podejrzewać, może zmniejszyć fałszywy ekran, wciskając kombinację klawiszy Ctrl+F4, lecz nie przerwie w ten sposób szyfrowania plików przeprowadzanego przez zagrożenie Fantom.
Po zakończeniu szyfrowania Fantom wymazuje wszelkie ślady swojej obecności (usuwa pliki wykonywalne), tworzy notatkę zawierającą informacje o okupie w postaci pliku .html, kopiuje ją do każdego folderu, a na pulpicie zamiast tapety wyświetla swoje powiadomienie. Atakujący podaje swój adres e-mail, aby umożliwić ofierze kontakt w sprawie warunków płatności i przekazania jej dalszych instrukcji.
Niestety na chwilę obecną nie istnieje inny sposób na odszyfrowanie zajętych plików niż zapłacenie okupu — a my stanowczo odradzamy ten krok. Najlepiej jest zapobiegać sytuacjom, w których narażamy się na zostanie ofiarą okupu.
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
Więcej na Bleeping Computer skąd 2 screeny poniżej
[Aby zobaczyć linki, zarejestruj się tutaj]
ekran fałszywych aktualizacji[Aby zobaczyć linki, zarejestruj się tutaj]
właściwości procesu Fantoma, które też podszywają się pod zaufany plik Microsoft
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"