Sie sind hier: home >> News

Vorsicht vor diesem Windows 10 Update: Ransomware Fantom

Die Schadsoftware Fantom tarnt sich als Windows-Update und zeigt auch dieses bekannten Bildschirm bei der Installation an. In Wahrheit handelt es sich um einen Verschlüsselungstrojaner.

Diese Schadsoftware wird vermutlich vor allem als angehängte Datei in E-Mails verbreitet. In den Datei-Eigenschaften beschreibt sie sich selbst mit Angaben wie "critical update kb01" und wirbt mit dem Hinweis "Copyright Microsoft 2016" um Vertrauen. Wird das Programm jedoch ausgeführt, extrahiert es das eingebettete Programm WindowsUpdate.exe und die Datenverschlüsselung startet im Hintergrund. Der vermeintliche Update-Bildschirm wird über alle anderen aktiven Fenster gelegt und der Wechsel zu anderen offenen Anwendungen verhindert. 

'; } ?>

 

Mit dem Update-Bildschirm hoffen die Hintermänner offenbar auch, einen plausiblen Grund für die verstärkten Laufwerksaktivitäten durch die Verschlüsselung zu geben. Wird der Update-Bildschirm geschlossen, sieht man zwar wieder den vorherigen Windows-Desktop, aber die Dateiverschlüsselung wird im Hintergrund fortgesetzt.

Die verschlüsselten Dateien werden um die Dateiendung .fantom erweitert. In jedem Ordner mit verschlüsselten Dateien legt die Malware eine HTML-Datei mit der Lösegeldforderung ab, die sie auch nach Abschluss ihrer Verschlüsselungsaktivitäten anzeigt.

Alle Dateien werden mit den Algorithmen RSA-4096 und AES-256 verschlüsselt. Die Entschlüsselung sei nur mit Schlüsseln möglich, die man auf Anfrage bei einer in der Lösegeldforderung angegebenen E-Mail-Adresse bekomme. Zur Verschlüsselung verwenden die Unbekannten das Programm Eda2 von Utku Sen. Eda2 war früher schon von der Ransomware Magic genutzt worden.

 

Quellen: www.chip.de, www.appy-geek.com/