"
Windows-Update" mit schweren Folgen: Die Ransomware Fantom gibt sich als kritisches System-Update aus, um unerfahrene Nutzer zur Installation zu bewegen. Wie die IT-Webseite
BleepingComputer berichtet, wurde der Schädling von dem AVG-Sicherheitsexperten
Jakub Kroustek entdeckt.
Eigenschaften: Die Ransomware tarnt sich als Windows-Update.
Quelle: (Quelle: BleepingComputer )
Fantom gelangt als herkömmliche EXE-Datei auf das System. In den Dateieigenschaften gibt der Schädling vor, ein kritisches Windows-Update von Microsoft zu sein. Sobald diese Datei ausgeführt wird, entpackt die Schadsoftware ein weiteres Tool zur Tarnung mit dem Namen WindowsUpdate.exe. Dieses führt ein Bildschirm-Overlay aus, das den Windows-Update-Screen nachahmt.
Während das vorgetäuschte Update läuft, beginnt die Ransomware bereits damit, Verzeichnisse zu verschlüsseln und darin enthaltene Dateien mit der Endung .fantom zu versehen. Dabei kommt eine AES-Verschlüsselung mit 128 Bit Schlüssellänge zum Einsatz. Der Schlüssel wird automatisch an den Kontroll-Server des Urhebers gesendet.
Außerdem platziert die Ransomware in jedem Ordner eine HTML-Datei mit dem Namen DECRYPT_YOUR_FILES. Diese Datei führt die Schadsoftware nach der Verschlüsselung aus, sie öffnet ein Browser-Fenster mit dem Erpresser-Schreiben des Urhebers. Anschließend lädt Fantom ein Hintergrund-Wallpaper mit den Kontaktdaten für die Entschlüsselung herunter. Die Erpresser verwenden unter anderem eine Mailadresse von dem russischen Anbieter Yandex.
Wie sich Fantom verbreitet, ist derzeit nicht bekannt. Allerdings soll der Trojaner bereits von einigen Virenscannern als Bedrohung erkannt werden. Wer von der Schadsoftware betroffen ist, sollte aber keinesfalls das Lösegeld bezahlen. Denn ob die verschlüsselten Dateien nach einer Zahlung wieder freigegeben werden, ist nicht sicher. Außerdem ermutigen Zahlungen die Kriminellen nur, mit ihren Machenschaften fortzufahren.
Regelmäßige Backups von wichtigen Daten auf externen Geräten stellen die beste und oftmals einzig effiziente Absicherung gegen Ransomware-Angriffe dar. Egal ob es sich bei den Trojanern um
Locky,
Cerber oder nun Fantom handelt.