Nowy ransomware Fantom rozprzestrzenia się przez fałszywą aktualizację bezpieczeństwa dla Windows

10 września 2016

Ransomware odnosi się do oprogramowania, które blokuje dostęp do komputera wymuszając w ten sposób zapłacenie haraczu. Jeśli dodamy do tego możliwość szyfrowania plików, będziemy mieć do czynienia z malware przypisanym do rodziny krypto-ransomware.

Wykorzystana w tym ataku manipulacja to tania sztuczka, na którą nikt się nie nabierze — tak pomyśli większość naszych czytelników. Mimo wszystko, naszym obowiązkiem jest ostrzegać przed podobnymi zagrożeniami.

Tym razem do rozprzestrzeniania nowego ransomware Fantom zastosowano metodę zapoczątkowaną w pierwszych miesiącach XXI wieku. Fantom to nowy wariant wirusa szyfrującego pliki, który został odkryty przez pracownika firmy AVG Technologies — Jakuba Krousteka. To zagrożenie powstało w oparciu o otwarto-źródłowy projekt „Ransomware EDA2”, który dostępny był w serwisie github (na szczęście został już usunięty). 

Szkodliwy plik – nosiciel. 
Okno aktualizacji podrobionego Windows Update

Niebieski ekran z powyższego zrzutu ekranu nakładany jest na pierwszy plan, więc użytkownik nie będzie mógł przełączyć się do innej aplikacji za pomocą kombinacji klawiszy ALT+TAB. Na szczęście możliwe jest zamknięcie fałszywego okna z aktualizacją skrótem CTRL+F4 lub ubicie procesu w menadżerze zadań. Niestety, ale nie powoduje to całkowitego zatrzymania procesu szyfrowania.

Komunikat zawierający informację o zaszyfrowanych plikach.

Fantom, podobnie jak inne ransomware, które bazują na projekcie EDA2, generuje losowy klucz AES-128 i szyfruje go za pomocą RSA. Zaszyfrowany klucz AES-128 potrzeby do odszyfrowania plików wysyłany jest do serwera C&C, następnie pliki szyfrowane są z pomocą zaszyfrowanego algorytmu symetrycznego AES-128 przyjmując końcowe rozszerzenie .fantom

W każdym folderze, po zakończonym procesie szyfrowania zostawiana jest notatka DECRYPT_YOUR_FILES.HTML. Usuwane są także kopie woluminów dysków i ekran z fałszywą aktualizacją. Pobierany jest również plik graficzny, który zapisany w %UserProfile%\2d5s8g4ed.jpg pełni rolę tapety systemu operacyjnego.

Ransomware Fantom w całej okazałości. img: bleepingcomputer.com

Ransomware Fantom nie byłby niczym szczególnym, gdyby nie podszywał się pod aktualizację bezpieczeństwa Windows. Tak jak i inne zagrożenia musi zostać dostarczony na komputer ofiary oraz uruchomiony ręcznie — możliwe jest to dzięki zastosowaniu dobrego socjotechnicznego ataku.

Przypominania o dobrych praktykach nigdy za wiele:

Jeśli musisz uruchomić załącznik rób to z głową: sprawdź wcześniej wiarygodność nadawcy, a w przypadku jakichkolwiek podejrzeń zaniechaj się od tej próby. Dobrą praktyką uruchamiania nieznanych plików — nawet od zaufanych nadawców (przecież ich e-mail może zostać zespoofowany) — jest stosowanie aplikacji typu sandbox (piaskownica), np. oprogramowanie Sandboxie.

Szczególnie uczulone na tego typu ataki powinny być wszystkie firmy. Chociaż nic nie wskazuje, ze ransomware Fantom potrafi szyfrować pliki na zmapowanych dyskach sieciowych, to lepiej tego nie sprawdzać w środowisku „produkcyjnym”.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
4 komentarzy
Inline Feedbacks
View all comments
Zyga
Zyga
4 lat temu

No proszę 🙂 „Dobrą praktyką uruchamiania nieznanych plików — nawet od zaufanych nadawców (przecież ich e-mail może zostać zespoofowany) — jest stosowanie aplikacji typu sandbox (piaskownica), np. oprogramowanie Sandboxie.” Ktoś tu zaczął w końcu promować i polecać odpowiednie narzędzie 🙂 Mam natomiast pytanie jeśli chodzi o Sandboxa. A w zasadzie dwa: 1) Co po 30 dniach okresu próbnego? 2) Jak rozpoznać, że plik/aplikacja uruchomiona w sanboxie jest zainfekowana? Nie mam jak tego sprawdzić (AV na kompie wszystko blokuje). Czysto teoretyczne założenia. Otwieram załącznik w Sandboxie. Jak po nim mogę zajarzyć, że coś jest wirusem? Np sytuacja. AV nic nie wykazał, po Sandboxie (nie wiem jak on informuje o infekcji) niby wszystko ok (bo nie wiem jak on to pokazuje) i odpalam poza Sandboxem i gotowe. Mam… Czytaj więcej »

Zyga
Zyga
4 lat temu

1) Dzięki. Tak zakładałem ale teraz mam pewnośc.
2) Czytałem instrukcję i nawet mam inny kolor ramki niż żółty 🙂 Trochę teraz sie zawiodłem. Chciałem SandBoxa używać jako doraźna pomoc a nie uruchamiać prawie wszystko przez niego. A tak otwarcie załącznika np z poczty niewiele mi da informacji, poza tym, że otworzyłem go w sandboxie. Myślałem, że ta ramka jakoś miga czy coś w tym stylu, gdy otwierany plik np próbuje uruchomić dodatkowe procesy albo załącznik był ransomware i próbuje zaszyfrować pliki.

Zyga
Zyga
4 lat temu

Adrian
Nie wiem gdzie zadać to pytanie więc tutaj trochę pospamuje 😉

Byłeś na tym wykładzie ?
https://zaufanatrzeciastrona.pl/post/wyklad-mikko-hypponena-za-darmo-juz-w-srode-w-warszawie/

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone