Fantom ransomware ховається за помилковим оновленням Windows, щоб заразити ваш комп'ютер - Обчислення - 2019

Anonim

Там ще один новий тип викупу. Fantom - це нова форма зловмисного вірусу, який приховує себе як важливе оновлення Windows.

Ransomware шифрує файли жертви та проводить їх викупу за певну плату - і кіберзлочинність поступово заводить людей у ​​натискання шкідливих посилань та завантаження вірусу.

Fantom був відкритий Якуб Кроудек, дослідник з безпеки в AVG. Він з'ясував, що винуватці дійсно пішли на велику довжину, щоб замаскувати свою роботу. Список властивостей шкідливих файлів, таких як інформація про авторські права та торгові марки корпорації Майкрософт, щоб зробити її законною.

Після завантаження цього файлу ваш комп'ютер виконає інший файл з назвою WindowsUpdate.exe, який знову виглядає відносно нешкідливим для тих, хто завантажує оновлення. Кроустек поділився деякими сценаріями викрадення в дії на Twitter, який включав дуже законний вигляд екрана "Налаштування критичного оновлення Windows" з лічильником завантаження для завантаження.

На жаль, що відбувається протягом цього часу, всі файли користувачів шифруються. Ви можете скасувати екран оновлення, натиснувши Ctrl + F4, але це, здається, не заперечує процес шифрування. Врешті-решт, вам буде привітаний повідомлення нижче.

У примітці не вказано жодної комісії, але заохочує жертву надіслати електронною поштою додаткові вказівки. Він попереджає користувача, що всі файли будуть знищені, якщо вони не відреагують протягом тижня, і що намагання завантажити ваші файли на свій розсуд назавжди знищити дані.

Сам видобуток, здається, дуже схожий на інших. Вона заснована на EDA2, коді, який зазвичай використовується у багатьох різних атаках ransomware, і шифрує файли з шифруванням AES-128. Але зараз не існує дешифрувального ключа, доступного для Fantom.

Немає жодних ознак того, де саме саме цей новий випадок і інфекційна тактика виникла, але, за словами Bleeping Computer, дуже поганий англійський у викупу вимагає, щоб це не походить від носія мови. Дослідники та хакери намагалися вимкнути можливі джерела викупу, вилучаючи мову та термінологію, що використовуються в тексті, і багато хто з них висуває вину російськомовних хакерів.

Що стосується Fantom, то в одній із повідомлень про інфекцію міститься електронна адреса від російського постачальника Yandex, а також адреса Techemail, яку надає Каліфорнія Everyone.net, тому неможливо привласнити Fantom комусь на даний момент.