Fantom, il ransomware che si finge Windows Update

31-08-2016 12:20 - Fonte: www.chimerarevo.com

C’è chi si finge un browser, chi addirittura parla… e, da qualche tempo, c’è chi si finge Windows Update. Stiamo parlando di una nuova famiglia di ransomware, tale Fantom, diffusasi durante le scorse settimane e che riesce a trarre in inganno l’utente con una strategia, per altro, già usata in passato. I Ransomware: tutto ciò che c’è da sapere in una infografica Fantom infatti maschera la sua attività “fingendosi” Windows Update: una volta contratto, il ransomware mostra all’utente una finestra simile a quella in basso, facendogli credere di essere in fase di installazione degli aggiornamenti. Il resto, poi, è già visto: documenti cifrati e richiesta di riscatto! Ma capiamone qualcosa in più. Come funziona Fantom? Scoperto da un ricercatore di AVG, Fantom – efficace soltanto su Windows – si presenta sotto le spoglie di un programma che risponde al nome di a.exe. Tra le proprietà dell’eseguibile, anche un falso copyright attribuito a Microsoft per meglio ingannare l’utente. Una volta eseguito a.exe, viene invocato il vero e proprio eseguibile per cifrare i file – WindowsUpdate.exe – e mostrata la falsa schermata d’aggiornamento. Inizia quindi il processo di cifratura dei file. Apparentemente non è possibile uscire dalla schermata ma CTRL+F4 vi permetterà di chiuderla e tornare a Windows. Ciò purtroppo non fermerà il processo di cifratura, che continuerà in secondo piano. La cifratura, come il “genitore” EDA2, avviene con una chiave AES a 128 bit che viene in questa fase caricata nel server di controllo. I file cifrati vengono modificati con estensione .fantom. Al termine del processo, come prassi, viene modificato lo sfondo del desktop ed aperto un file HTML che notifica all’utente l’avvenuta cifratura dei file, le istruzioni per pagare il riscatto e l’avviso di avere soltanto una settimana di tempo prima ...

- Continua...