» »

Izsiljevalski Fantom med lažnim Windows Update šifrira datoteke

Izsiljevalski Fantom med lažnim Windows Update šifrira datoteke

Slo-Tech - Fantom je nov izsiljevalski virus, ki so ga odkrili pri AVG, ki svojega početja ne skriva v ozadju, temveč vas lepo prosi, da počakate, dokler ne opravi svojega. Tega seveda ne stori neposredno, temveč izriše zelo dober ponaredek okna, ki se pojavi ob nameščanju in nastavljanju posodobitev prek Windows Update. Medtem ko gledamo to precej prepričljivo okno, Fantom z AES-128 zašifrira uporabniške datoteke na disku in jim pripne končnico .fantom, od koder je dobil tudi ime.

Fantom sicer sodi med izsiljevalske programe, ki temeljijo na odprtokodnem paketu EDA2, s katerim si lahko z malo truda svoj ransomware izdela vsak. EDA2 je bil mišljen kot raziskovalni projekt akademske vrednosti, a so nepridipravi kodo hitro pograbili in uporabili za nečedne posle. Fantom je dokaj običajen program, ki za šifriranje generira naključen ključ AES-128, ki ga potem pošlje na nadzorne strežnike, od koder ga lahko odplačno pridobimo.

Protistrupa za Fantom še niso naredili, zato trenutno edina rešitev za povrnitev datotek ostaja plačilo odkupnine avtorjem. Kako se to naredi, nas program poduči v tako polomljeni angleščini, da je kar neverjetno, da so ti isti ljudje izdelali prepričljivo okno Windows Update.

Fantom se širi z okuženo datoteko, ki se pretvarja, da je kritična posodobitev iz Microsofta. Preventiva je zato sorazmerno enostavna - izogibati se moramo odpiranju čudnih datotek. Zdravila pa še ni.

20 komentarjev

OK.d ::

So vsaj uslugo uporabnikom 10-tke naredili,da ne bodo nalagali kar vsepoprek bugy updejtov:)
LPOK.d

mtosev ::

še več tega sranja. mam srečo, da nisem nikoli fasal noben crypto virus:))
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 3600mhz Gskill
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UP3017
moj oče darko 1960-2016, moj labradorec max 2002-2013

Phantomeye ::

Kako se to naredi, nas program poduči v tako polomljeni angleščini, da je kar neverjetno, da so ti isti ljudje izdelali prepričljivo okno Windows Update.


A če je človek v nečem slab, potem že ne more bit dober v nečem drugem? :D

Sploh pa to okno sploh ni grafično zahtevno :D

SleepyFE ::

Phantomeye je izjavil:

Kako se to naredi, nas program poduči v tako polomljeni angleščini, da je kar neverjetno, da so ti isti ljudje izdelali prepričljivo okno Windows Update.


A če je človek v nečem slab, potem že ne more bit dober v nečem drugem? :D

Sploh pa to okno sploh ni grafično zahtevno :D


Če je človek v nečem slab potem v istem ne more bit dobr. Čudi ga da je TEKST v fake update oknu dober (slovnično), medtem ko zahtevek za plačilo ni.

Phantomeye ::

SleepyFE je izjavil:

Phantomeye je izjavil:

Kako se to naredi, nas program poduči v tako polomljeni angleščini, da je kar neverjetno, da so ti isti ljudje izdelali prepričljivo okno Windows Update.


A če je človek v nečem slab, potem že ne more bit dober v nečem drugem? :D

Sploh pa to okno sploh ni grafično zahtevno :D


Če je človek v nečem slab potem v istem ne more bit dobr. Čudi ga da je TEKST v fake update oknu dober (slovnično), medtem ko zahtevek za plačilo ni.


Moja trditev še vedno velja, z eno malo spremembo - "Sploh pa to okno ni grafično niti slovnično zahtevno." Eno je prepisati enostaven stavek z obstoječega update okna, drugo pa spisasti zahtevek za denar.

Razlika v kompleksnosti je ogromna.

globoko grlo ::

In kako vem kater kritični updejt mi zašifrira disk?
Gigabyte B460M DS3H | I5 - 10400F | 16GB | 1060@3GB | P2 m.2 500GB

Tezaab ::

globoko grlo je izjavil:

In kako vem kater kritični updejt mi zašifrira disk?

V zadnjem odstavku članka je napisano, da je to datoteka, ki se pretvarja, da je update. Verjetno je ne dobiš neposredno z MSjevih spletnih strani.
sisemen: "Inženirstvo je v nenehni tekmi z vesoljem. Trudi se izdelati
tehnologijo, ki je odporna na idiote, vesolje pa se trudi izdelati vedno
hujše idiote. In vesolje zmaguje."

klinker ::

Res je, je pa naslov zavajujoc ker izpade kot da je zadeva med uradnimi posodobitvami.

bluefish ::

klinker je izjavil:

Res je, je pa naslov zavajujoc ker izpade kot da je zadeva med uradnimi posodobitvami.
Če spregledaš besedo "lažnim".

Bistri007 ::

V oknu piše, da gre za AES256, ne za AES128. Kaj je prav?
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

MrStein ::

bluefish je izjavil:

klinker je izjavil:

Res je, je pa naslov zavajujoc ker izpade kot da je zadeva med uradnimi posodobitvami.
Če spregledaš besedo "lažnim".

Ja, lažen update skrit med uradnimi.
Skrit, torej ne očiten.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Glugy ::

"ki za šifriranje generira naključen ključ AES-128, ki ga potem pošlje na nadzorne strežnike, od koder ga lahko odplačno pridobimo."

Torej bi moral to pošiljanje nekak zajet pol bi pa imel ključ. In verjetno da če veš kam pošlje; gre lahko policija po strežnik ane?

MrStein ::

Če pošlje na TOR, ne veš kam pošlje.
Pa četudi veš, da pošlje v spodnji bananistan, kdo bo šel tja?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Bistri007 ::

Tor in Bitcoin so zelo fajn zadeve za kriminalce...
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

BT52 ::

Bistri007 je izjavil:

Tor in Bitcoin so zelo fajn zadeve za kriminalce...


Kaj ti brani, da ga še izkoristiš tudi ti za svojo zasebnost.

Personanonim ::

Bistri007 je izjavil:

Tor in Bitcoin so zelo fajn zadeve za kriminalce...

Nož je lahko orodje in orožje..al kako že gre tista o tehnologiji...
"The internet - like a training camp for never amounting to anything."

oglaf.com

MrStein ::

Da ne bomo še kako "vedno aktualno" primerjavo dali... (google: aktualno)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Spura ::

Zdravila pa še ni.
Ga tudi nikoli ne bo. Predpostavljam da govorimo o zdravilu za ljudi, ki odpirajo razne priponke.

GrX ::

MrStein je izjavil:

Če pošlje na TOR, ne veš kam pošlje.
Pa četudi veš, da pošlje v spodnji bananistan, kdo bo šel tja?


Ne pošlje na TOR omrežje ampak na strežnike, ki so običajno pod popolno kontrolo barab.

Bistri007 ::

Saj na TOR so tudi strežniki. Kaj ni Silk Road deloval na ta način?
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

[Python] HTTPS na desktopu dela, na Arduinu ne

Oddelek: Programiranje
9894 (507) N4g4c3N
»

Izsiljevalski Fantom med lažnim Windows Update šifrira datoteke

Oddelek: Novice / Varnost
206633 (3963) Bistri007
»

Štiri petine nameščenih brskalnikov potrebujejo posodobitve

Oddelek: Novice / Varnost
193611 (2823) techfreak :)
»

Win MSN live 2010

Oddelek: Programska oprema
7879 (741) Cold1
»

VNC+ varnost + dinamični IP. Kako ??

Oddelek: Omrežja in internet
353525 (2541) flisko

Več podobnih tem