Neue Ransomware tarnt sich als Windows-Update

Die Ransomware Fantom

Der AVG-Malwareforscher Jakub Kroustek hat in diesem Zusammenhang die Aktionen einer Ransomware mit dem Namen Fantom bemerkt, wie blog.botfrei berichtete. Sie erscheint zwar nach der Installation mit dem „normalen“ Windows-Update Bildschirm, verschlüsselt aber im Hintergrund die Nutzerdaten, um im Anschluss  Lösegeld zu erpressen.

Es sollen umfangreiche Spam-Kampagnen sein, mit denen die Verbreitung des gefälschten Windows Updates erfolgt. Das geschieht über Anhänge bzw. vielversprechende Downloads über dubiosen Drittanbieter, die man generell mit Vorsicht behandeln sollte. Beim Öffnen eines E-Mail Anhangs entpackt sich eine „WindowsUpdate.exe„ Datei. Dateiinformationen lauten unter anderem „critical update kb01“ und „Copyright Microsoft 2016“, um Vertrauen zu wecken.

Heimliche Verschlüsselung

Wird die Datei „WindowsUpdate.exe“ ausgeführt, zeigt sich flächendeckendes Update-Fenster von Microsoft mit fortschreitender Prozentangabe, welcher aber vielmehr den Fortschritt der im Hintergrund laufenden Verschlüsselung des Systems anzeigt, so blog.botfrei. Der Prozess lässt sich zwar mit „Tastenkombination Ctrl+F4″ beenden und der Update-Bildschirm schließen. Die Verschlüsselung geht allerdings munter weiter.

Laut den Experten basiert die Verschlüsselung der Ransomware „Fantom“ auf dem Open Source EDA2 Projekt und generiert einen zufälligen AES-128-Schlüssel. Über RSA verschlüsselt wird dieser an den Command & Controll Server der Kriminellen gesendet. Erkennbar sind die verschlüsselten Dateien durch die Erweiterung .fantom. Zudem hinterlassen die Kriminellen in jedem Ordner mit verschlüsselten Dateien eine Nachricht in Form einer DECRYPT_YOUR_FILES.HTML.

Diese Dateien verschlüsselt Fantom

.001, .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .apk, .arc

Die Lösegeldforderung