Вымогательское ПО Fantom маскируется под обновление Windows

Вымогательское ПО Fantom маскируется под обновление Windows

На данный момент какой-либо способ восстановления файлов без уплаты выкупа отсутствует.

Исследователь из AVG Якуб Кроустек (Jakub Kroustek) обнаружил очередное вредоносное ПО, созданное на базе проекта с открытым исходным кодом EDA2. По словам эксперта, Fantom отображает на экране зараженного компьютера поддельное окно обновления Windows, уведомляющее о том, что система якобы устанавливает критический патч. В то же время в фоновом режиме вымогатель незаметно шифрует файлы пользователя.

На данный момент какой-либо способ восстановления файлов без уплаты выкупа отсутствует. По словам Лоуренса Абрамса (Lawrence Abrams) из Bleeping Computer, разработчики Fantom приложили максимум усилий, чтобы скрыть вредоносную активность вымогателя, замаскировав его под критическое обновление Windows. Для большей убедительности в свойствах файлах указано название «critical update».

После установления на системе жертвы Fantom извлекает и выполняет файл WindowsUpdate.exe, отображающий поддельный экран установки обновления Windows. Экран отображается поверх всех открытых пользователем окон и блокирует доступ к любой дугой программе. Избавиться от него можно, нажав комбинацию клавиш Ctrl+F4. Поддельный процесс установки обновлений завершится и Windows снова откроется в привычном виде, однако шифрование файлов все равно будет продолжаться.

Завершив процесс шифрования, Fantom отображает уведомление с инструкциями по восстановлению файлов и уникальным идентификатором, присваиваемым каждой жертве. Как сообщается в уведомлении, пользователь должен связаться с операторами вредоноса по указанной электронной почте и предоставить свой идентификатор. Далее ему следует оплатить «услуги» злоумышленников по расшифровке файлов, после чего он получит декриптор. 

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!