Ransomware odnosi się do oprogramowania, które blokuje dostęp do komputera wymuszając w ten sposób zapłacenie haraczu. Jeśli dodamy do tego możliwość szyfrowania plików, będziemy mieć do czynienia z malware przypisanym do rodziny krypto-ransomware.

Wykorzystana w tym ataku manipulacja to tania sztuczka, na którą nikt się nie nabierze — tak pomyśli większość naszych czytelników. Mimo wszystko, naszym obowiązkiem jest ostrzegać przed podobnymi zagrożeniami.

Tym razem do rozprzestrzeniania nowego ransomware Fantom zastosowano metodę zapoczątkowaną w pierwszych miesiącach XXI wieku. Fantom to nowy wariant wirusa szyfrującego pliki, który został odkryty przez pracownika firmy AVG Technologies — Jakuba Krousteka. To zagrożenie powstało w oparciu o otwarto-źródłowy projekt "Ransomware EDA2", który dostępny był w serwisie github (na szczęście został już usunięty). 

Szkodliwy plik - nosiciel. 
Okno aktualizacji podrobionego Windows Update

Niebieski ekran z powyższego zrzutu ekranu nakładany jest na pierwszy plan, więc użytkownik nie będzie mógł przełączyć się do innej aplikacji za pomocą kombinacji klawiszy ALT+TAB. Na szczęście możliwe jest zamknięcie fałszywego okna z aktualizacją skrótem CTRL+F4 lub ubicie procesu w menadżerze zadań. Niestety, ale nie powoduje to całkowitego zatrzymania procesu szyfrowania.

Komunikat zawierający informację o zaszyfrowanych plikach.

Fantom, podobnie jak inne ransomware, które bazują na projekcie EDA2, generuje losowy klucz AES-128 i szyfruje go za pomocą RSA. Zaszyfrowany klucz AES-128 potrzeby do odszyfrowania plików wysyłany jest do serwera C&C, następnie pliki szyfrowane są z pomocą zaszyfrowanego algorytmu symetrycznego AES-128 przyjmując końcowe rozszerzenie .fantom

W każdym folderze, po zakończonym procesie szyfrowania zostawiana jest notatka DECRYPT_YOUR_FILES.HTML. Usuwane są także kopie woluminów dysków i ekran z fałszywą aktualizacją. Pobierany jest również plik graficzny, który zapisany w %UserProfile%\2d5s8g4ed.jpg pełni rolę tapety systemu operacyjnego.

Ransomware Fantom w całej okazałości. img: bleepingcomputer.com

Ransomware Fantom nie byłby niczym szczególnym, gdyby nie podszywał się pod aktualizację bezpieczeństwa Windows. Tak jak i inne zagrożenia musi zostać dostarczony na komputer ofiary oraz uruchomiony ręcznie — możliwe jest to dzięki zastosowaniu dobrego socjotechnicznego ataku.

Przypominania o dobrych praktykach nigdy za wiele:

Jeśli musisz uruchomić załącznik rób to z głową: sprawdź wcześniej wiarygodność nadawcy, a w przypadku jakichkolwiek podejrzeń zaniechaj się od tej próby. Dobrą praktyką uruchamiania nieznanych plików — nawet od zaufanych nadawców (przecież ich e-mail może zostać zespoofowany) — jest stosowanie aplikacji typu sandbox (piaskownica), np. oprogramowanie Sandboxie.

Szczególnie uczulone na tego typu ataki powinny być wszystkie firmy. Chociaż nic nie wskazuje, ze ransomware Fantom potrafi szyfrować pliki na zmapowanych dyskach sieciowych, to lepiej tego nie sprawdzać w środowisku „produkcyjnym”.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Zyga pon., 12-09-2016 - 20:46

No proszę :)
"Dobrą praktyką uruchamiania nieznanych plików — nawet od zaufanych nadawców (przecież ich e-mail może zostać zespoofowany) — jest stosowanie aplikacji typu sandbox (piaskownica), np. oprogramowanie Sandboxie."
Ktoś tu zaczął w końcu promować i polecać odpowiednie narzędzie :)

Mam natomiast pytanie jeśli chodzi o Sandboxa. A w zasadzie dwa:
1) Co po 30 dniach okresu próbnego?
2) Jak rozpoznać, że plik/aplikacja uruchomiona w sanboxie jest zainfekowana? Nie mam jak tego sprawdzić (AV na kompie wszystko blokuje).
Czysto teoretyczne założenia. Otwieram załącznik w Sandboxie. Jak po nim mogę zajarzyć, że coś jest wirusem? Np sytuacja. AV nic nie wykazał, po Sandboxie (nie wiem jak on informuje o infekcji) niby wszystko ok (bo nie wiem jak on to pokazuje) i odpalam poza Sandboxem i gotowe. Mam wirusa bo AV też go nie wykrył.
Mógłbyś (bo na pewno używasz lub używałeś) jak Sanboxie informuje, że otworzony plik/aplikacja/załącznik to zło, które nie powinniśmy poza nim otwierać?

Adrian Ścibor wt., 13-09-2016 - 08:14

@#1 ad1. Nic, korzystasz nadal łamiąc postanowienia licencji. Myślę, że trzeba zrobić konkurs z tym programem...
ad2. Nie czytało się instrukcji po zainstalowaniu, które wyświetlał sam program? Zajrzyj do ustawień - wokół uruchomionej aplikacji jest domyślnie żółta ramka. W dodatku jak otworzysz interfejs to masz czarno na białym, co jest sandbox'owane.

Sandboxie nie informuje o infekcji. To nie jest program do takiej ochrony! W nim tworzysz reguły co ma być uruchamiane w piaskownicy z automatu lub uruchamiasz to manualnie za pomocą PPM (prawy przycisk myszu -> "uruchom w piaskownicy".

Zyga wt., 13-09-2016 - 10:48

1) Dzięki. Tak zakładałem ale teraz mam pewnośc.
2) Czytałem instrukcję i nawet mam inny kolor ramki niż żółty :) Trochę teraz sie zawiodłem. Chciałem SandBoxa używać jako doraźna pomoc a nie uruchamiać prawie wszystko przez niego. A tak otwarcie załącznika np z poczty niewiele mi da informacji, poza tym, że otworzyłem go w sandboxie. Myślałem, że ta ramka jakoś miga czy coś w tym stylu, gdy otwierany plik np próbuje uruchomić dodatkowe procesy albo załącznik był ransomware i próbuje zaszyfrować pliki.