Fantom-Ransomware gibt sich als Windows-Update aus

2 Sep 2016

Wir weisen Sie oft darauf hin, ihr Betriebssystem und Ihre Software regelmäßig zu aktualisieren: Schwachstellen, können, wenn sie nicht rechtzeitig ausgebessert werden, durch Malware genutzt werden. Nun, eine interessante Malware mit dem Namen Fantom nutzt Updates aus.

fantom-ransomware-featured

Aus technischer Sicht ist Fantom fast wie seine Ransomware-Doppelgänger. Es basiert auf dem offenen Ransomware-Quelltext EDA2, der von Utku Sen als Teil eines fehlgeschlagenen Experiments entwickelt wurde. Er ist tatsächlich einer von vielen auf EDA2-basierten Cryptoblockern, aber bei seinem Versuch, seine Aktivitäten zu tarnen, geht Fantome ein bisschen zu weit.

Bis jetzt kennen wir noch nicht die Verbreitungsmethode von Fantom. Aber nachdem es in einen Computer eindringt, beginnt es mit der normalen Ransomware-Routine: es erstellt einen Verschlüsselungs-Key, verschlüsselt ihn und speichert ihn zur späteren Verwendung auf einem Command-and-Control-Server.

Dann scannt der Trojaner den Computer und sucht nach Dateien zur Verschlüsselung (mehr als 350, einschließlich verbreiteter Office-Dokumentformate, Audios und Bilder). Es verwendet den zuvor genannten Schlüssel, um sie zu verschlüsseln und fügt ihren Namen die Erweiterung .fantom hinzu. Jedoch spielt sich, mit all diesen im Hintergrund ausgeführten Prozessen, der interessanteste Teil direkt vor den Augen des Opfers ab.

Bevor wir zu diesem Teil kommen, muss erwähnt werden, dass sich diese Ransomware als wichtiges Windows-Update ausgibt. Und wenn die Malware ihr Werk beginnt, führt sie nicht nur eins, sondern zwei Programme aus: Den Verschlüsseler an sich und ein kleines Programm mit dem unschuldig wirkenden Namen WindowsUpdate.exe.

Letzteres wird genutzt, um einen authentisch wirkenden Windows-Update-Hintergrund vorzutäuschen (ein blaues Fenster, das Sie darüber informiert, dass Windows aktualisiert wird). Während Fantom die Dateien des Users im Hintergrund verschlüsselt, zeigt der Bildschirm den Fortschritt des „Updates“ (in Wirklichkeit der Verschlüsselung) an.

windows-update-screen

Dieser Trick wurde dazu entworfen, um Opfer von verdächtiger Aktivität auf ihrem Computer abzulenken. Das falsche Windows-Update läuft im Vollbildmodus und blockiert so den visuellen Zugriff auf die Programme.

Wenn User misstrauisch werden, können sie den falschen Bildschirm durch Drücken von SRRG+F4 verkleinern, aber das wird Fantom nicht vom Verschlüsseln der Dateien abhalten.

Wenn die Verschlüsselung beendet ist, vernichtet Fantom seine Spuren (löscht die ausführbaren Programme), erstellt eine .html-Ransomware-Nachricht, kopiert sie in jeden Ordner und ersetzt den Bildschirmhintergrund durch eine Benachrichtigung. Der Angreifer stellt eine E-Mail-Adresse bereit, damit das Opfer Kontakt herstellen, die Zahlungsweise besprechen und weitere Anweisungen erhalten kann.

Das Bereitstellen von Kontaktinformationen ist für russischsprachige Hacker typisch; es gibt auch andere Anzeichen dafür, dass die Täter russisch sind: die E-Mail-Adresse Yandex.ru und sehr schlechtes Englisch. Laut Bleeping Computer ist „die Grammatik und die Wortwahl die schlechteste, die ich bisher in Ransomware-Benachrichtigungen gesehen habe.“

ransom-note-screen

Die schlechte Nachricht ist, dass es zu diesem Zeitpunkt keine Möglichkeit gibt, die betroffenen Dateien zu entschlüsseln, ohne ein Lösegeld zu zahlen — und wir raten von der Zahlung von Lösegeld ab. Also ist der beste Ansatz das Vermeiden dieses Hackingangriffs. Hier finden Sie ein paar Tipps:

  • Aktualisieren Sie Ihre Daten regelmäßig und speichern Sie Sicherungskopien auf einem externen, unverbundenen Laufwerk. Wenn Sie eine Sicherungskopie besitzen, bedeutet das, dass Sie Ihr System und Ihre Dateien wiederherstellen können, selbst wenn Ihr PC infiziert wurde. Die Sicherungsfunktion von Kaspersky Total Security automatisiert übrigens diesen Prozess.
  • Seien Sie vorsichtig: Öffnen Sie keine verdächtigen E-Mail-Anhänge, bleiben Sie undurchsichtigen Webseiten fern und klicken Sie nicht auf fragwürdige Ads. Fantom könnte, wie jede Malware, einen dieser Angriffsvektoren nutzen, um in Ihr System einzudringen.
  • Verwenden Sie eine solide Sicherheitslösung: Kaspersky Internet Security erkennt z. B. Fantom bereits als Trojan-Ransom.MSIL.Tear.wbf oder PDM:Trojan.Win32.Generic. Und selbst wenn bisher unbekannte Ransomware den Antivirus umgehen, würde sie die Funktion System Watcher, die verdächtiges Verhalten überwacht, blockieren.