Новый зловред выдает себя за обновление Windows

04.09.2021 0 Автор admin

Обнаружен новый зловред-шифровальщик, выдающий себя за обновление Windows. Вредоносная программа шифрует пользовательские файлы, все это время демонстрируя экран установки обновления.

Программу обнаружил исследователь AVG Якуб Крустек (Jakub Kroustek). Зловред, основанный на платформе шифровальщиков с открытым кодом EDA2, получил название Fantom. Распространяется он под видом установочного файла критически важного обновления Windows, причем в свойствах файла для пущей убедительности указано, что авторские права якобы принадлежат Microsoft.

Файл запускает работу программы с именем «WindowsUpdate.exe», которая показывает поддельный экран обновления Windows. Он занимает собой весь дисплей и не дает переключиться на другие окна. Индикатор прогресса призван убедить пользователя, что происходит установка обновления, хотя на самом деле все это время идет шифрование пользовательских данных. Экран фальшивого обновления можно закрыть клавишами [Ctrl]+[F4], но процесс шифрования при этом продолжится.

Новый зловред выдает себя за обновление Windows

Программа генерирует случайный ключ шифрования AES-128, зашифровывает его с помощью RSA и выгружает на сервер злоумышленников, а потом использует этот ключ для шифрования всех файлов с определенными расширениями, включая фотографии, документы и видеоролики. К имени каждого файла после зашифровки прибавляется расширение «.fantom».

Закончив свое черное дело, шифровальщик уничтожает все теневые копии тома, чтобы пользователь не мог восстановить данные, и удаляет фальшивый файл обновления Windows. В качестве финального штриха зловред подменяет фон рабочего стола. После этого пользователю предлагают связаться со злоумышленниками по адресам email fantomd12@yandex.ru или fantom12@techemail.com для получения инструкций о том, как выкупить ключ, позволяющий расшифровать данные.

Новый зловред выдает себя за обновление Windows

Плохой английский язык и использование Яндекс.Почты заставляет предположить, что создатели Fantom проживают где-то на постсоветском пространстве. К сожалению, расшифровать зашифрованные ими файлы без уплаты выкупа пока невозможно – известные механизмы борьбы с подобными шифровальщиками не действуют, а новые пока не разработаны, хотя если Fantom получит широкое распространение, антивирусные компании наверняка найдут решение этой проблемы.