Blog

VIRUS Fantom finge ser atualização do Windows

VIRUS Fantom finge ser atualização do Windows

De um ponto de vista técnico, o Fantom é quase indêntico a muitos outros ransomwares. É baseado em um ransomware de código livre EDA2, desenvolvido por Utku Sen como parte de um experimento fracassado. Trata-se de um dos muitos cryptoblockers baseados no EDA-2, mas o Fantom vai muito além na hora de encobrir o rastro.

Não conhecemos os métodos de distribuição do Fantom. Porém, ao infiltrar em um computador, inicia a rotina comum de um ransomware: criar uma chave de criptografia, criptografá-la, e armazená-la em um servidor de comando e controle para uso futuro.

O Trojan, então, analisa o computador, em busca de arquivos dos tipos que é capaz de bloquear (mais de 350, incluindo formatos comuns de documentos, áudios e imagens). A senha já mencionada é utilizada para bloquear os arquivos que recebem a extensão .fantom. Contudo, com todos esses processos sendo executados em segundo plano, a parte mais interessante ocorre bem na cara da vítima.

Antes de chegarmos ao cerne da questão, é preciso mencionar que o executável desse ransomware se passa por uma atualização do Windows. É aí que o malware começa o trabalho sujo, executa não apenas um, mas dois programas: o próprio criptor e um programa de nome inocente, WindowsUpdate.exe.

Esse segundo programa foi projetado para simular a tela de atualização do Windows (tela azul que informa que seu computador está sendo atualizado). Enquanto o Fantom criptografa os arquivos do usuário em segundo plano, a mensagem na tela mostra que a “atualização” está em progresso.

O golpe é pensado para distrair a vítima da atividade suspeita em seus dispositivos. A atualização falsa ocorre em modo de tela cheia, o que bloqueia visualmente o acesso a outros programas.

Um usuário desconfiado poderia minimizar a tela falsa com Ctrl+F4, mas isso não impedirá o Fantom de criptografar arquivos.

Uma vez que o processo de criptografia está executado, o Fantom elimina os indícios (deleta os executáveis), e cria um bilhete de resgate em html, deixa uma cópia em cada pasta e substitui o papel de parede com um aviso. O criminoso ainda fornece um endereço de e-mail por meio do qual a vítima pode entrar em contato, discutir os termos do pagamento e receber instruções adicionais.

Fornecer informações de contato é típico de hackers russos. Existem ainda outros indícios que apontam para a origem russa dos criminosos: o endereço de e-mail do Yandex.ru e o domínio pobre da língua inglesa. Especialistas do Bleeping Computer apontam que os erros gramaticais e ortográficos são os “piores que já vimos em um bilhete de resgate até hoje”.

Fonte : Kaspersky Lab