{"id":8578,"date":"2016-09-02T10:11:43","date_gmt":"2016-09-02T10:11:43","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=8578"},"modified":"2020-02-26T18:44:42","modified_gmt":"2020-02-26T16:44:42","slug":"fantom-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/fantom-ransomware\/8578\/","title":{"rendered":"Fantom-Ransomware gibt sich als Windows-Update aus"},"content":{"rendered":"<p>Wir weisen Sie oft darauf hin, ihr Betriebssystem und Ihre Software regelm\u00e4\u00dfig zu aktualisieren: Schwachstellen, k\u00f6nnen, wenn sie nicht rechtzeitig ausgebessert werden, durch Malware genutzt werden. Nun, eine interessante Malware mit dem Namen Fantom nutzt Updates aus.<\/p>\n<p>Aus technischer Sicht ist <a href=\"http:\/\/www.bleepingcomputer.com\/news\/security\/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update\/\" target=\"_blank\" rel=\"noopener nofollow\">Fantom<\/a> fast wie seine Ransomware-Doppelg\u00e4nger. Es basiert auf dem offenen Ransomware-Quelltext EDA2, der von Utku Sen als Teil eines <a href=\"https:\/\/www.kaspersky.de\/blog\/ded-cryptor-ransomware\/8132\/\" target=\"_blank\" rel=\"noopener\">fehlgeschlagenen Experiments<\/a> entwickelt wurde. Er ist tats\u00e4chlich einer von vielen auf EDA2-basierten Cryptoblockern, aber bei seinem Versuch, seine Aktivit\u00e4ten zu tarnen, geht Fantome ein bisschen zu weit.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">How an open-source educational project on <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> turned into <a href=\"https:\/\/twitter.com\/hashtag\/DedCryptor?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#DedCryptor<\/a> <a href=\"https:\/\/t.co\/O2aW1Xnuzg\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/O2aW1Xnuzg<\/a> <a href=\"https:\/\/t.co\/WkwJvOtTXZ\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/WkwJvOtTXZ<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/751424392266129408?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">July 8, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Bis jetzt kennen wir noch nicht die Verbreitungsmethode von Fantom. Aber nachdem es in einen Computer eindringt, beginnt es mit der normalen Ransomware-Routine: es erstellt einen Verschl\u00fcsselungs-Key, verschl\u00fcsselt ihn und speichert ihn zur sp\u00e4teren Verwendung auf einem Command-and-Control-Server.<\/p>\n<p>Dann scannt der Trojaner den Computer und sucht nach Dateien zur Verschl\u00fcsselung (mehr als 350, einschlie\u00dflich verbreiteter Office-Dokumentformate, Audios und Bilder). Es verwendet den zuvor genannten Schl\u00fcssel, um sie zu verschl\u00fcsseln und f\u00fcgt ihren Namen die Erweiterung .fantom hinzu. Jedoch spielt sich, mit all diesen im Hintergrund ausgef\u00fchrten Prozessen, der interessanteste Teil direkt vor den Augen des Opfers ab.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>#Fantom zeigt einen falschen Windows-Update-Bildschirm an, w\u00e4hrend es Ihre Dateien verschl\u00fcsselt<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F5jFL&amp;text=%23Fantom+zeigt+einen+falschen+Windows-Update-Bildschirm+an%2C+w%C3%A4hrend+es+Ihre+Dateien+verschl%C3%BCsselt\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Bevor wir zu diesem Teil kommen, muss erw\u00e4hnt werden, dass sich diese Ransomware als wichtiges Windows-Update ausgibt. Und wenn die Malware ihr Werk beginnt, f\u00fchrt sie nicht nur eins, sondern zwei Programme aus: Den Verschl\u00fcsseler an sich und ein kleines Programm mit dem unschuldig wirkenden Namen WindowsUpdate.exe.<\/p>\n<p>Letzteres wird genutzt, um einen authentisch wirkenden Windows-Update-Hintergrund vorzut\u00e4uschen (ein blaues Fenster, das Sie dar\u00fcber informiert, dass Windows aktualisiert wird). W\u00e4hrend Fantom die Dateien des Users im Hintergrund verschl\u00fcsselt, zeigt der Bildschirm den Fortschritt des \u201eUpdates\u201c (in Wirklichkeit der Verschl\u00fcsselung) an.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-8889\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2016\/09\/06134556\/windows-update-screen.png\" alt=\"windows-update-screen\" width=\"1191\" height=\"674\"><\/p>\n<p>Dieser Trick wurde dazu entworfen, um Opfer von verd\u00e4chtiger Aktivit\u00e4t auf ihrem Computer abzulenken. Das falsche Windows-Update l\u00e4uft im Vollbildmodus und blockiert so den visuellen Zugriff auf die Programme.<\/p>\n<p>Wenn User misstrauisch werden, k\u00f6nnen sie den falschen Bildschirm durch Dr\u00fccken von SRRG+F4 verkleinern, aber das wird Fantom nicht vom Verschl\u00fcsseln der Dateien abhalten.<\/p>\n<p>Wenn die Verschl\u00fcsselung beendet ist, vernichtet Fantom seine Spuren (l\u00f6scht die ausf\u00fchrbaren Programme), erstellt eine .html-Ransomware-Nachricht, kopiert sie in jeden Ordner und ersetzt den Bildschirmhintergrund durch eine Benachrichtigung. Der Angreifer stellt eine E-Mail-Adresse bereit, damit das Opfer Kontakt herstellen, die Zahlungsweise besprechen und weitere Anweisungen erhalten kann.<\/p>\n<p>Das Bereitstellen von Kontaktinformationen ist f\u00fcr russischsprachige Hacker typisch; es gibt auch andere Anzeichen daf\u00fcr, dass die T\u00e4ter russisch sind: die E-Mail-Adresse Yandex.ru und sehr schlechtes Englisch. Laut Bleeping Computer ist\u00a0\u201edie Grammatik und die Wortwahl die schlechteste, die ich bisher in Ransomware-Benachrichtigungen gesehen habe.\u201c<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-8890\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2016\/09\/06134555\/ransom-note-screen.png\" alt=\"ransom-note-screen\" width=\"1015\" height=\"495\"><\/p>\n<p>Die schlechte Nachricht ist, dass es zu diesem Zeitpunkt keine M\u00f6glichkeit gibt, die betroffenen Dateien zu entschl\u00fcsseln, ohne ein L\u00f6segeld zu zahlen \u2014 und <a href=\"https:\/\/www.kaspersky.de\/blog\/why-you-dont-pay-ransomware\/7846\/\" target=\"_blank\" rel=\"noopener\">wir raten von der Zahlung von L\u00f6segeld ab<\/a>. Also ist der beste Ansatz das Vermeiden dieses Hackingangriffs. Hier finden Sie ein paar Tipps:<\/p>\n<ul>\n<li>Aktualisieren Sie Ihre Daten regelm\u00e4\u00dfig und speichern Sie Sicherungskopien auf einem externen, unverbundenen Laufwerk. Wenn Sie eine Sicherungskopie besitzen, bedeutet das, dass Sie Ihr System und Ihre Dateien wiederherstellen k\u00f6nnen, selbst wenn Ihr PC infiziert wurde. Die Sicherungsfunktion von <a href=\"https:\/\/www.kaspersky.com\/de\/internet-security\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Total Security<\/a> automatisiert \u00fcbrigens diesen Prozess.<\/li>\n<li>Seien Sie vorsichtig: \u00d6ffnen Sie keine verd\u00e4chtigen E-Mail-Anh\u00e4nge, bleiben Sie undurchsichtigen Webseiten fern und klicken Sie nicht auf fragw\u00fcrdige Ads. Fantom k\u00f6nnte, wie jede Malware, einen dieser Angriffsvektoren nutzen, um in Ihr System einzudringen.<\/li>\n<li>Verwenden Sie eine solide Sicherheitsl\u00f6sung: <a href=\"https:\/\/www.kaspersky.com\/de\/internet-security\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security<\/a> erkennt z. B. Fantom bereits als Trojan-Ransom.MSIL.Tear.wbf oder PDM:Trojan.Win32.Generic. Und selbst wenn bisher unbekannte Ransomware den Antivirus umgehen, w\u00fcrde sie die Funktion System Watcher, die verd\u00e4chtiges Verhalten \u00fcberwacht, blockieren.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Fantom-Ransomware zeigt einen falschen Windows-Update-Bildschirm an, w\u00e4hrend sie Ihre Dateien verschl\u00fcsselt.<\/p>\n","protected":false},"author":2194,"featured_media":8579,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[],"class_list":{"0":"post-8578","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fantom-ransomware\/8578\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fantom-ransomware\/7599\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fantom-ransomware\/7622\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fantom-ransomware\/7615\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fantom-ransomware\/9024\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fantom-ransomware\/8886\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fantom-ransomware\/12939\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fantom-ransomware\/2400\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fantom-ransomware\/12891\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fantom-ransomware\/6045\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fantom-ransomware\/6524\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/fantom-ransomware\/5335\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/fantom-ransomware\/12483\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fantom-ransomware\/12939\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fantom-ransomware\/12891\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fantom-ransomware\/12891\/"}],"acf":[],"banners":"","maintag":[],"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/8578","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2194"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=8578"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/8578\/revisions"}],"predecessor-version":[{"id":23104,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/8578\/revisions\/23104"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/8579"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=8578"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=8578"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=8578"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}