Zaposleni kompanije AVG, Jakub Kroustek, otkrio je novi ransomware koji se predstavlja u obliku lažne nadogradnje računare baziranih na operativnom sistemu Windows.
Sam ransomware dobio je ime Fantom i bazira se na projektu EDA2 ransomware-a otvorenog koda. Kako bi prikrio svoje prisustvo na zaraženom računaru, Fantom se prikazuje u obliku lažne kritične nadogradnje Windows-a, uz njega se izvodi i program WindowsUpdate.exe čiji je zadatak da na zaraženom računaru prikaže ekran s informacijom da je u toku nadogradnja sistema.
Dok se na ekranu prikazuje lažni procenat napredovanja instalacije fiktivne nadogradnje, u pozadini se sprovodi enkripcija svih podataka na zaraženom računaru (koji nakon enkripcije dobivaju nastavak .fantom). Čak i ako se spomenuti ekran zatvori, enkripcija celog sistema teče i dalje. Generiše se nasumični AES-128 ključ koji se šalje na Fantom-ov komandni i kontrolni server.
Zatim se otvara HTML datoteka koja korisnike na zaraženom računaru na poprilično lošem engleskom jeziku obaveštava da su svi njegovi podaci na računaru kriptovani te da je potrebno platiti otkupninu kako bi oni opet bili dostupni.
Na kraju se kao pozadina na računar sprema fotografija koja dodatno upozorava na plaćanje otkupnine te da su svi podaci na računaru kroptovni. Za sada nije moguće dekriptovati podatke na računarima koji su pogođeni ovim ransomwareom.
Opasan ransomware krije se u obliku lažne nadogradnje za Windows
09:03
nema komentara
Postavi komentar
Vaš komentar: