Izsiljevalski Fantom med lažnim Windows Update šifrira datoteke
Matej Huš
26. avg 2016 ob 19:48:31
Fantom je nov izsiljevalski virus, ki so ga odkrili pri AVG, ki svojega početja ne skriva v ozadju, temveč vas lepo prosi, da počakate, dokler ne opravi svojega. Tega seveda ne stori neposredno, temveč izriše zelo dober ponaredek okna, ki se pojavi ob nameščanju in nastavljanju posodobitev prek Windows Update. Medtem ko gledamo to precej prepričljivo okno, Fantom z AES-128 zašifrira uporabniške datoteke na disku in jim pripne končnico .fantom, od koder je dobil tudi ime.
Fantom sicer sodi med izsiljevalske programe, ki temeljijo na odprtokodnem paketu EDA2, s katerim si lahko z malo truda svoj ransomware izdela vsak. EDA2 je bil mišljen kot raziskovalni projekt akademske vrednosti, a so nepridipravi kodo hitro pograbili in uporabili za nečedne posle. Fantom je dokaj običajen program, ki za šifriranje generira naključen ključ AES-128, ki ga potem pošlje na nadzorne strežnike, od koder ga lahko odplačno pridobimo.
Protistrupa za Fantom še niso naredili, zato trenutno edina rešitev za povrnitev datotek ostaja plačilo odkupnine avtorjem. Kako se to naredi, nas program poduči v tako polomljeni angleščini, da je kar neverjetno, da so ti isti ljudje izdelali prepričljivo okno Windows Update.
Fantom se širi z okuženo datoteko, ki se pretvarja, da je kritična posodobitev iz Microsofta. Preventiva je zato sorazmerno enostavna - izogibati se moramo odpiranju čudnih datotek. Zdravila pa še ni.