Fantom: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 26 авг 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Проявился еще один криптовымогатель, созданный на основе проекта с открытым исходным кодом EDA2.

    Fantom отображает поддельный экран обновления Windows, создавая иллюзию установки критического обновления Windows. Пока пользователь терпеливо ждёт установки "обновления", Fantom тем временем тайно шифрует файлы пользователя ПК.
    ф1.jpg
    ф2.png

    В свойствах исполняемого файла WindowsUpdate.exe, принадлежащего крипто-вымогателю, прописано, что это "критическое обновление kb01" от Microsoft.

    Фальшивый экран фальшивого обновления перекрывает все активные окна и не даёт переключиться на другие приложения. Как и положено в новых системах Windows на экране кружится процентный счетчик, увеличиваясь по мере увеличения числа зашифрованных файлов жертвы. Фантом-экран можно закрыть с помощью комбинации клавиш Ctrl + F4, поддельный процесс завершится и отобразится нормальных рабочий стол, но шифровальщик всё же продолжит свое чёрное дело в фоновом режиме. К зашифрованным файлам будет добавлено расширение .fantom.

    По окончании шифрования два пакетных файла проведут зачистку и удалят тома теневых копий и файл WindowsUpdate.exe вымогателя. После этого жертва увидит записку о выкупе DECRYPT_YOUR_FILES.HTML, с ID_KEY и предложением связаться с вымогателями по email. Один из адресов зарегистрирован у Яндекса.
    ф3.png

    Список целевых расширений файлов довольно обширен - 582 расширения, по моим подсчетам.

    Файлы, созданные Fantom Ransomware:
    %AppData%\delback.bat
    [Executable_Path]\WindowsUpdate.exe
    [Executable_Path]\update.bat
    %UserProfile%\2d5s8g4ed.jpg

    Записи реестра, связанные с Fantom Ransomware:
    HKCU\Control Panel\Desktop\ "Wallpaper" "%UserProfile%\How to decrypt your files.jpg"
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1

    Источник полного описания шифровальщика-вымогателя Fantom
     
    lilia-5-0, akok и Охотник нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    lilia-5-0 и Охотник нравится это.

Поделиться этой страницей