Приложение-вымогатель прикидывается обновлением Windows

Открытие сделал Якоб Крустек из компании AVG Technologies, передает ozone.net.

Вымогатель называется Fantom, он устанавливается через исполняемый файл a.exe. Для сокрытия вредоносной активности в свойствах файла указано, что он содержит критически важное обновление системы Windows. Для большей достоверности используется значок авторского права Microsoft с датой 2016.

Когда файл запущен, он извлекает и запускает приложение WindowsUpdate.exe. Оно отображает экран, напоминающий экран обновления Windows, с привычным указанием процентов до завершения процесса и напоминанием не выключать компьютер. При этом программа на позволяет открывать другие приложения.

Закончив с шифрованием файлов, вымогатель генерирует ключ AES-128, который отправляется на сервер злоумышленников. Программа шифрует файлы множества форматов, добавляя к ним расширение .fantom. Далее запускается файл HTML с запиской с требованием выкупа на английском языке. На данный момент инструмента для бесплатного дешифрования файлов для Fantom не существует.

Русский

Автор: