Плохая новость для пользователей, аккуратно и своевременно обновляющих свою систему. Исследователи из BleepingComputer сообщили, что им известно о появлении нового типа шифровальщика, притворяющегося критическим обновлением Windows. Обнаружил штамм зловреда, получившего кодовое имя Fantom, исследователь из AVG Якуб Крустек (Jakub Kroustek).

По словам эксперта, Fantom использует открытый код EDA2, ставший основой многих шифровальщиков последних месяцев. Отличительной особенностью зловреда является его способность маскироваться под обновление Windows. При запуске он отображает поддельный экран приложения Windows Update, на котором, как обычно, отображено сообщение, что система устанавливает некоторое количество критических обновлений.

Эта маскировка достаточно правдоподобна, утверждают ознакомившиеся с образцом зловреда исследователи. Например, в свойствах файла указано, что он является критическим обновлением Windows. Но на самом деле, пока якобы устанавливается свежий апдейт, Fantom в фоновом режиме шифрует данные.

При исполнении вредоносное приложение запускает еще одну программу под названием WindowsUpdate.exe. Экран налагается на рабочий стол, отвлекая внимание, в то время как за кулисами работает шифровальщик. На экране даже отображается «процесс» установки обновлений в процентах, чтобы пользователь случайно не прервал работу зловреда и не заподозрил компьютер в подозрительной активности. Если же жертва заметила подлог, она имеет возможность закрыть поддельный экран комбинацией Ctrl+F4, но, хотя это вернет рабочий стол в нормальное состояние, работу шифровальщика эти действия не прервут.

Команда MalwareHunterTeam смогла кратко изучить код Fantom и выяснила, что его принцип шифрования никак не отличается от методов, используемых «собратьями», основанными на коде EDA2. Новый зловред генерирует случайный криптоключ AES-128, шифрует его при помощи алгоритма RSA и загружает на командный сервер. Попав в компьютер жертвы, шифровальщик сканирует директории, выявляя подходящие для шифрования типы файлов (всего под прицелом более 350 форматов, включая популярные офисные документы и изображения), затем шифрует их и добавляет к имени файла расширение .fantom.

После этого в каждой папке директории создается сообщение с требованием выкупа decrypt_your_files.html. Также зловред создает два файла, удаляющих теневые копии и поддельный файл системного обновления Windows.

wallpaper

Любопытно, что в требовании выкупа злоумышленник указывает email-адрес fantomd12[at]yandex.ru или fantom12[at]techemail.com, что может указывать как на его русскоязычные корни, так и на очевидно слабое владение английским языком. «Вероятно, это самый низкий уровень словарного запаса и владения грамматикой, что я видел в записках с требованием выкупа за все время существования вымогателей», — признался автор записи на BleepingComputer.

html-ransom-note

Как известно на данный момент, расшифровать файлы без уплаты выкупа не получится.

Категории: Аналитика, Вредоносные программы, Главное