Vorsicht: Fantom Ransomware tarnt sich als kritisches Windows Update

Mit einem besonders perfiden Trick verschafft sich eine Ransomware namens Fantom Zugang auf Systeme. Fantom gibt vor, ein kritisches Windows-Update zu sein. Der Nutzer lädt sich die Schadsoftware und installiert den Erpressungstrojaner dann mit dem Hintergedanken, eigentlich ein wichtiges Update durchzuführen.
Schwachstelle, Ransomeware, Fantom Ransomware
Bleeping Computer
Jakub Kroustek von AVG Technologies hat die neue Ransomware entdeckt. Fantom soll soweit das aktuell bekannt ist auf EDA2 Open-Source Ransomware Code basieren, der schon seit längerem im Netz kursiert. Die Macher hinter Fantom nutzen den Code und haben ihm einen gemeinen Trick "übergestülpt": Das Programm nennt sich WindowsUpdate.exe oder auch nur a.exe. Es zeigt beim Start einen nachgemachten Windows Update Bildschirm und ruft dann die Illusion hervor, dass ein kritisches Windows Update installiert wird. Fantom RansomwareDer Erpressungstrojaner Fantom.

"Update" startet die Verschlüsselung

Während auf dem Bildschirm dann die typische Prozentangabe zum Fortschritt der Installation läuft, verschlüsselt der Trojaner in Wirklichkeit die Festplatte seines Opfers. Ist der Prozess abgeschlossen, erhält der Betroffene die Nachricht, was da gerade tatsächlich mit seinem PC passiert ist.

Das falsche Update lässt sich nicht stoppen

Wie die Seite Bleeping Computer berichtet, lässt sich das Programm sobald es einmal gestartet ist nicht mehr stoppen. Man kann zwar das Fenster mit dem Installationshinweis schließen, die Verschlüsselung der Daten läuft aber in jedem Fall im Hintergrund weiter. Das heißt, dass es bereits zu spät ist, sobald einmal der gefälschte Update-Bildschirm zu sehen ist (via Neowin).

Hat der Verschlüsselungstrojaner seine Arbeit getan, öffnet er ein HTML-Dokument, in dem dann die Erpresser-Botschaft zu lesen ist. Fantom nutzt demnach laut eigenen Angaben RSA-4096 und AES-256 um die Daten zu verschlüsseln, Bleeping Computer hat aber nur einen AES-128-Algorithmus entdeckt. Wie üblich bei dieser Art der Erpressungstrojaner wird dann zur Kontaktaufnahme und zum Bezahlen des "Entschlüsselungsservices" aufgefordert.

Die Hacker raten zudem zur Eile, denn sie würden die erbeuteten Schlüssel für die Systeme nach einer Woche vernichten.

Siehe auch: Gratistool für Ransomware-Opfer: Kaspersky knackt CryptXXX

Download G DATA EU Ransomware Cleaner - Ransomware finden und entfernen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!