Fantom: bóng ma an ninh mạng mới nhất

Windows

2016Tháng 97_MicrosoftWindowsNewsAndTips_A2016Tháng 97_MicrosoftWindowsNewsAndTips_AThật khó để phủ nhận tốc độ nhân lên của các loại ransomware khác nhau – chúng sinh sôi nhanh hơn thỏ trong mùa giao phối. Ransomware khác nhau về hình thức, mức độ tinh vi và mục tiêu. Sự bổ sung mới nhất vào danh sách đầy đủ các loại ransomware là Fantom. Cơn ác mộng an ninh mạng này có một bề ngoài mà nhiều người sẽ không hề e ngại khi tin tưởng. Giống như nhiều thứ khác, những thế lực đe dọa về mặt công nghệ này giống như “sói đội lốt cừu” – mối nguy hiểm sắp xảy ra ẩn nấp bên dưới những vỏ bọc có vẻ vô tội nhất.

Nhà nghiên cứu bảo mật AVG Jakub Kroustek gần đây đã phát hiện Fantom được mã hóa trên EDA2, một bộ công cụ xây dựng ransomware có nguồn mở nhưng cuối cùng đã bị gỡ bỏ. EDA2 có một số lỗ hổng nhất định cho phép các nhà nghiên cứu lấy khóa giải mã từ máy chủ C&C của nó, tuy nhiên những lỗ hổng này đã biến mất kể từ đó, cho thấy rằng các lập trình viên Fantom có ​​thể đã tìm thấy và sửa chúng trước khi bất kỳ ai khác có cơ hội.

Rất ít thông tin được biết về cách Fantom được phân phối. Về phương thức triển khai, tội phạm mạng cài tệp vào máy tính của mục tiêu thông qua email spam hoặc bộ công cụ khai thác. Các tập tin bị nhiễm Fantom được đặt tên quan trọngupdate01.exe; họ sử dụng “Cập nhật bảo mật Windows” để nhắc các mục tiêu chạy tệp.

Sau khi kích hoạt, ransomware bắt đầu bằng cách khóa màn hình của người dùng trong khi hiển thị đồ họa Windows Update giả, hoàn chỉnh với bộ đếm thời gian tải dựa trên tỷ lệ phần trăm đầy đủ chức năng phản chiếu màn hình Windows Update gốc. Tuy nhiên, bên dưới vẻ ngoài dễ chịu này, Fantom đang mã hóa các tập tin của bạn ngay trước mắt bạn. May mắn thay, màn hình khóa tạm thời có thể tháo rời trước khi đạt 100% – chỉ cần nhấn CTRL+F4. Thật không may, quá trình mã hóa vẫn còn nguyên.

MalwareHunterTeam tuyên bố: “Phần mềm ransomware sử dụng mã hóa ransomware cổ điển bằng cách khóa các tệp bằng khóa AES-128, sau đó mã hóa khóa này bằng khóa RSA kép, với khóa riêng được lưu trữ trên máy chủ của kẻ lừa đảo và khóa chung được để lại trên PC của người dùng. .”

Để lấy lại khóa riêng để mở khóa các tệp của mình, bạn phải liên hệ với thủ phạm qua email. Địa chỉ email được liệt kê trong thông báo đòi tiền chuộc xuất hiện sau khi quá trình mã hóa hoàn tất. Fantom hiển thị ghi chú đòi tiền chuộc dưới dạng tệp HTML và TXT, đồng thời thay đổi màn hình của người dùng bằng ảnh chụp màn hình tùy chỉnh liệt kê chi tiết liên hệ. Cuối cùng, sau khi hoàn thành tất cả các hoạt động của mình, Fantom sẽ tự dọn dẹp bằng cách chạy hai tập lệnh bó để xóa sạch tất cả các tệp cài đặt.

Ransomware không phải là mới, nhưng cách mà tội phạm mạng sử dụng chúng thì khác. Ai có thể nghĩ rằng cửa sổ Windows Update quen thuộc lại trở thành nạn nhân của mục đích xấu? Giả sử bạn là Cô bé quàng khăn đỏ và con sói là phần mềm ransomware mà tội phạm mạng đã cải trang thành bà của bạn. Họ không chờ đợi để bẫy bạn nữa, thay vào đó, họ đợi bạn bước thẳng vào bẫy.

Vấn đề về ransomware vừa rộng lớn vừa tỉ mỉ. Nếu bạn có bất kỳ câu hỏi nào về Fantom hoặc muốn yêu cầu thêm thông tin, vui lòng liên hệ với chúng tôi! Gọi cho chúng tôi hoặc gửi email cho chúng tôi. Đội ngũ nhân viên tận tâm của chúng tôi rất sẵn lòng trợ giúp.