05/09/2016

Program żądający okupu Fantom udaje aktualizację systemu Windows

Technologie Zagrożenia

Jedną z najczęściej wymienianych przez nas rad jest regularne aktualizowanie systemu operacyjnego i oprogramowania: jeśli luki nie zostaną załatane na czas, mogą zostać wykorzystane przez szkodliwe programy. Pewien szkodliwy program o nazwie Fantom, którego celem jest wymuszanie zapłaty, wykorzystał ideę systemowych aktualizacji.

fantom-ransomware-featured

Z technicznego punktu widzenia Fantom nie różni się niczym od sobie podobnych. Do jego utworzenia użyto otwartego kodu źródłowego charakterystycznego dla szkodliwych programów — EDA2, który został powstał w wyniku nieudanego eksperymentu użytkownika Utku Sen. Jest to jeden z wielu programów typu kryptobloker (blokuje i szyfruje pliki) opartych na EDA2, lecz sposób, w jaki Fantom maskuje swoje działanie, jest mocno przesadzony.

Na chwilę obecną nie wiemy, w jaki sposób rozprzestrzenia się Fantom. Po przedostaniu się do komputera rozpoczyna standardowe działanie programu typu ransomware: tworzy klucz szyfrowania, szyfruje go, a następnie przechowuje na serwerze kontroli w celu późniejszego użycia.

Później trojan skanuje komputer, poszukując typów plików, które może zaszyfrować (jest ich aż ponad 350, w tym popularne formaty dokumentów biurowych, pliki muzyczne i obrazy). Wspomnianego wcześniej klucza używa do zaszyfrowania ich, a do nazw plików dodaje rozszerzenie .fantom. Wszystko to dzieje się w tle, ale najciekawsze jest to, co się dzieje na oczach ofiary.

Zanim przejdziemy dalej, warto wspomnieć, że ten program żądający okupu podszywa się pod krytyczne aktualizacje systemu Windows. Szkodliwy program uruchamia nie jeden, lecz dwa programy: jeden szyfrujący, a drugi mniejszy o niewinnie brzmiącej nazwie WindowsUpdate.exe.

windows-update-screen

Ten ostatni jest wykorzystywany do symulowania oryginalnego ekranu Windows Update (niebieski ekran, który informuje o uaktualnianiu Windowsa). Gdy Fantom szyfruje pliki użytkownika w tle, na ekranie wyświetlana jest informacja o postępie „aktualizacji” (a w rzeczywistości: szyfrowania).

Ma to na celu odciągnięcie uwagi użytkownika od szkodliwego działania wykonywanego na danym urządzeniu. Fałszywa aktualizacja Windows Update działa w trybie pełnoekranowym, blokując wizualnie dostęp do innych programów.

Gdy użytkownik zaczynie coś podejrzewać, może zmniejszyć fałszywy ekran, wciskając kombinację klawiszy Ctrl+F4, lecz nie przerwie w ten sposób szyfrowania plików przeprowadzanego przez zagrożenie Fantom.

Po zakończeniu szyfrowania Fantom wymazuje wszelkie ślady swojej obecności (usuwa pliki wykonywalne), tworzy notatkę zawierającą informacje o okupie w postaci pliku .html, kopiuje ją do każdego folderu, a na pulpicie zamiast tapety wyświetla swoje powiadomienie. Atakujący podaje swój adres e-mail, aby umożliwić ofierze kontakt w sprawie warunków płatności i przekazania jej dalszych instrukcji.

Podawanie informacji kontaktowych jest charakterystyczne dla hakerów rosyjskojęzycznych, lecz istnieją także inne znaki wskazujące na to, że oszuści są pochodzenia rosyjskiego: adres e-mail w domenie Yandex.ru i kiepski angielski. Jak określił to serwis Bleeping Computer: „Do tej pory nie spotkaliśmy notatki z okupem napisanej tak złą gramatyką i stylem”.

ransom-note-screen

Niestety na chwilę obecną nie istnieje inny sposób na odszyfrowanie zajętych plików niż zapłacenie okupu — a my stanowczo odradzamy ten krok. Najlepiej jest zapobiegać sytuacjom, w których narażamy się na zostanie ofiarą okupu. Poniżej podaję kilka porad, co może w tym pomóc:

  1. Regularnie twórz kopie zapasowe danych i przechowuj je na pamięci zewnętrznej, która nie jest na stałe podłączona do komputera. Posiadając taką kopię, z łatwością przywrócisz system i jego pliki nawet w sytuacji, gdy komputer zostanie zainfekowany.Warto dodać, że nasz produkt Kaspersky Total Security posiada funkcję automatycznego tworzenia kopii zapasowych.
  2. Bądź czujny: nie otwieraj podejrzanych załączników e-mail, nie odwiedzaj wątpliwych stron internetowych, a także nie klikaj dziwnych reklam. Podobnie jak inne szkodliwe programy, Fantom może korzystać z tych sposobów, aby dostać się do systemu.
  3. Używaj solidnego produktu zabezpieczającego: na przykład Kaspersky Internet Securitywykrywa zagrożenie Fantom jako Trojan-Ransom.MSIL.Tear.wbf lub PDM:Trojan.Win32.Generic. Nawet jeśli nieznana jeszcze próbka programu żądającego okupu ominie silnik antywirusa, zostanie zablokowana przez funkcję Kontrola systemu, która monitoruje podejrzane zachowanie.