Ransomware Fantom

Trojaner tarnt sich als kritisches Windows-Update

von - 29.08.2016
Wallpaper von Fantom
Foto: BleepingComputer
Der Erpresser-Trojaner Fantom tarnt sich als kritisches Windows-Update, um besorgte Nutzer zu überlisten. Einmal im System eingedrungen, beginnt die Schadsoftware mit der Verschlüsselung von Verzeichnissen.
"Windows-Update" mit schweren Folgen: Die Ransomware Fantom gibt sich als kritisches System-Update aus, um unerfahrene Nutzer zur Installation zu bewegen. Wie die IT-Webseite BleepingComputer berichtet, wurde der Schädling von dem AVG-Sicherheitsexperten Jakub Kroustek entdeckt.
Dateieigenschaften von Fantom
Eigenschaften: Die Ransomware tarnt sich als Windows-Update.
(Quelle: BleepingComputer )
Fantom gelangt als herkömmliche EXE-Datei auf das System. In den Dateieigenschaften gibt der Schädling vor, ein kritisches Windows-Update von Microsoft zu sein. Sobald diese Datei ausgeführt wird, entpackt die Schadsoftware ein weiteres Tool zur Tarnung mit dem Namen WindowsUpdate.exe. Dieses führt ein Bildschirm-Overlay aus, das den Windows-Update-Screen nachahmt.
Während das vorgetäuschte Update läuft, beginnt die Ransomware bereits damit, Verzeichnisse zu verschlüsseln und darin enthaltene Dateien mit der Endung .fantom zu versehen. Dabei kommt eine AES-Verschlüsselung mit 128 Bit Schlüssellänge zum Einsatz. Der Schlüssel wird automatisch an den Kontroll-Server des Urhebers gesendet.
Außerdem platziert die Ransomware in jedem Ordner eine HTML-Datei mit dem Namen DECRYPT_YOUR_FILES. Diese Datei führt die Schadsoftware nach der Verschlüsselung aus, sie öffnet ein Browser-Fenster mit dem Erpresser-Schreiben des Urhebers. Anschließend lädt Fantom ein Hintergrund-Wallpaper mit den Kontaktdaten für die Entschlüsselung herunter. Die Erpresser verwenden unter anderem eine Mailadresse von dem russischen Anbieter Yandex.

Erpresser keinesfalls bezahlen

Wie sich Fantom verbreitet, ist derzeit nicht bekannt. Allerdings soll der Trojaner bereits von einigen Virenscannern als Bedrohung erkannt werden. Wer von der Schadsoftware betroffen ist, sollte aber keinesfalls das Lösegeld bezahlen. Denn ob die verschlüsselten Dateien nach einer Zahlung wieder freigegeben werden, ist nicht sicher. Außerdem ermutigen Zahlungen die Kriminellen nur, mit ihren Machenschaften fortzufahren.
Regelmäßige Backups von wichtigen Daten auf externen Geräten stellen die beste und oftmals einzig effiziente Absicherung gegen Ransomware-Angriffe dar. Egal ob es sich bei den Trojanern um Locky, Cerber oder nun Fantom handelt.
Verwandte Themen