Исследователь из AVG Якуб Кроустек выявил очередную “новинку”, пополнившую многочисленную линейку опасных вредоносов. ПО с открытым исходным кодом EDA2 получило название “Fantom”. Оно отображает на экране инфицированного компьютера поддельное окно обновления Windows, которое сообщает, что система якобы устанавливает критический патч. В то же время, в фоновом режиме, вымогатель начинает незаметно шифровать файлы…
На данный момент способ восстановления файлов без уплаты выкупа не найден. По словам Лоуренса Абрамса из Bleeping Computer, разработчики Fantom приложили максимум усилий, чтобы скрыть вредоносную активность вымогателя, замаскировав его под критическое обновление Windows. Особую убедительность придает название «critical update», указанное в свойствах файлов.
После установки на системе, Fantom извлекает и выполняет файл WindowsUpdate.exe, отображающий поддельный экран установки обновления Windows. Экран отображается поверх всех открытых пользователем окон и блокирует доступ к любой дугой программе. Избавиться от него можно с помощью клавиш Ctrl+F4. Когда “процесс установки обновлений” завершится, Windows вновь откроется в привычном виде, но шифрование файлов все равно будет продолжаться.
После завершения шифрования, Fantom отображает уведомление с инструкциями по восстановлению файлов и уникальным идентификатором, присваиваемым каждому пострадавшему. В уведомлении сказано, что пользователь должен связаться с операторами вредоноса по указанной электронной почте и сообщить свой идентификатор. Далее ему нужно оплатить «услуги» злоумышленников по расшифровке файлов, после чего он получит декриптор. О какой именно сумме речь и одинакова ли она для каждого пользователя не сообщается.
Источник http://www.securitylab.ru/
