Vorsicht: Fantom Ransomware tarnt sich als kritisches Windows Update
Mit einem besonders perfiden Trick verschafft sich eine Ransomware namens Fantom Zugang auf Systeme. Fantom gibt vor, ein kritisches Windows-Update zu sein. Der Nutzer lädt sich die Schadsoftware und installiert den Erpressungstrojaner dann mit dem Hintergedanken, eigentlich ein wichtiges Update durchzuführen.
Jakub Kroustek von AVG Technologies hat die neue Ransomware entdeckt. Fantom soll soweit das aktuell bekannt ist auf EDA2 Open-Source Ransomware Code basieren, der schon seit längerem im Netz kursiert. Die Macher hinter Fantom nutzen den Code und haben ihm einen gemeinen Trick "übergestülpt": Das Programm nennt sich WindowsUpdate.exe oder auch nur a.exe. Es zeigt beim Start einen nachgemachten Windows Update Bildschirm und ruft dann die Illusion vor, dass ein kritisches Windows Update installiert wird.
"Update" startet die Verschlüsselung
Während auf dem Bildschirm dann die typische Prozentangabe zum Fortschritt der Installation läuft, verschlüsselt der Trojaner in Wirklichkeit die Festplatte seines Opfers. Ist der Prozess abgeschlossen, erhält der Betroffenen die Nachricht, was da gerade tatsächlich mit seinem PC passiert ist.
Das falsche Update lässt sich nicht stoppen
Wie die Seite Bleeping Computer berichtet, lässt sich das Programm sobald es einmal gestartet ist nicht mehr stoppen. Man kann zwar das Fenster mit dem Installationshinweis schließen, die Verschlüsselung der Daten läuft aber in jedem Fall im Hintergrund weiter. Das heißt, dass es bereits zu spät ist, sobald einmal der gefälschte Update-Bildschirm zu sehen ist (via Neowin).
Hat der Verschlüsselungstrojaner seine Arbeit getan, öffnet er ein HTML-Dokument, in dem dann die Erpresser-Botschaft zu lesen ist. Fantom nutzt demnach laut eigenen Angaben RSA-4096 und AES-256 um die Daten zu verschlüsseln, Bleeping Computer hat aber nur einen AES-128-Algorithmus entdeckt. Wie üblich bei dieser Art der Erpressungstrojaner fordern sie dann zur Kontaltaufnahme und zum Bezahlen ihres "Entschlüsselungsservices" auf.
Die Hacker raten zudem zur Eile, denn sie würden die erbeuteten Schlüssel für die Systeme nach einer Woche vernichten.
Quelle