Сергей Горин
ТОП-МАСТЕР
Очередная сводка пришла с фронтов сражений с приложениями-вымогателями, на которые нынешний год оказался чрезвычайно плодовит. Новая программа использует экран обновления Windows и якобы устанавливает критические обновления системы, на самом деле зашифровывая файлы пользователей.
https://www.neowin.net/images/uploaded/2016/08/1472207174_fake-windows-update-screen.jpg
Открытие сделал Якоб Крустек из компании AVG Technologies. Вымогатель называется Fantom, он устанавливается через исполняемый файл a.exe. Для сокрытия вредоносной активности в свойствах файла указано, что он содержит критически важное обновление системы Windows. Для большей достоверности используется значок авторского права Microsoft с датой 2016.
Когда файл запущен, он извлекает и запускает приложение WindowsUpdate.exe. Оно отображает экран, напоминающий экран обновления Windows, с привычным указанием процентов до завершения процесса и напоминанием не выключать компьютер. При этом программа на позволяет открывать другие приложения.
https://www.neowin.net/images/uploaded/2016/08/1472207327_html-ransom-note.jpg
Закончив с шифрованием файлов, вымогатель генерирует ключ AES-128, который отправляется на сервер злоумышленников. Программа шифрует файлы множества форматов, добавляя к ним расширение .fantom. Далее запускается файл HTML с запиской с требованием выкупа на английском языке. На данный момент инструмента для бесплатного дешифрования файлов для Fantom не существует.
https://www.neowin.net/images/uploaded/2016/08/1472207174_fake-windows-update-screen.jpg
Открытие сделал Якоб Крустек из компании AVG Technologies. Вымогатель называется Fantom, он устанавливается через исполняемый файл a.exe. Для сокрытия вредоносной активности в свойствах файла указано, что он содержит критически важное обновление системы Windows. Для большей достоверности используется значок авторского права Microsoft с датой 2016.
Когда файл запущен, он извлекает и запускает приложение WindowsUpdate.exe. Оно отображает экран, напоминающий экран обновления Windows, с привычным указанием процентов до завершения процесса и напоминанием не выключать компьютер. При этом программа на позволяет открывать другие приложения.
https://www.neowin.net/images/uploaded/2016/08/1472207327_html-ransom-note.jpg
Закончив с шифрованием файлов, вымогатель генерирует ключ AES-128, который отправляется на сервер злоумышленников. Программа шифрует файлы множества форматов, добавляя к ним расширение .fantom. Далее запускается файл HTML с запиской с требованием выкупа на английском языке. На данный момент инструмента для бесплатного дешифрования файлов для Fantom не существует.
