главная    •     Новости      •     софт      •     RSS-ленты     •     реклама      •     PDA-Версия      •    Контакты
Windows XP    •      Windows 7     •    Windows 8    •    Windows 9-10-11     •    Windows Server     •    Железо
Советы      •     Администрирование      •     Сеть      •     Безопасность      •     Статьи      •     Материалы
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
Обнаружен новый зловред-шифровальщик, выдающий себя за обновление Windows. Вредоносная программа шифрует пользовательские файлы, все это время демонстрируя экран установки обновления.

Программу обнаружил исследователь AVG Якуб Крустек (Jakub Kroustek). Зловред, основанный на платформе шифровальщиков с открытым кодом EDA2, получил название Fantom. Распространяется он под видом установочного файла критически важного обновления Windows, причем в свойствах файла для пущей убедительности указано, что авторские права якобы принадлежат Microsoft.

Новый зловред выдает себя за обновление Windows


Файл запускает работу программы с именем «WindowsUpdate.exe», которая показывает поддельный экран обновления Windows. Он занимает собой весь дисплей и не дает переключиться на другие окна. Индикатор прогресса призван убедить пользователя, что происходит установка обновления, хотя на самом деле все это время идет шифрование пользовательских данных. Экран фальшивого обновления можно закрыть клавишами [Ctrl]+[F4], но процесс шифрования при этом продолжится.

Новый зловред выдает себя за обновление Windows


Программа генерирует случайный ключ шифрования AES-128, зашифровывает его с помощью RSA и выгружает на сервер злоумышленников, а потом использует этот ключ для шифрования всех файлов с определенными расширениями, включая фотографии, документы и видеоролики. К имени каждого файла после зашифровки прибавляется расширение «.fantom».

Закончив свое черное дело, шифровальщик уничтожает все теневые копии тома, чтобы пользователь не мог восстановить данные, и удаляет фальшивый файл обновления Windows. В качестве финального штриха зловред подменяет фон рабочего стола. После этого пользователю предлагают связаться со злоумышленниками по адресам email fantomd12@yandex.ru или fantom12@techemail.com для получения инструкций о том, как выкупить ключ, позволяющий расшифровать данные.

Новый зловред выдает себя за обновление Windows


Плохой английский язык и использование Яндекс.Почты заставляет предположить, что создатели Fantom проживают где-то на постсоветском пространстве. К сожалению, расшифровать зашифрованные ими файлы без уплаты выкупа пока невозможно – известные механизмы борьбы с подобными шифровальщиками не действуют, а новые пока не разработаны, хотя если Fantom получит широкое распространение, антивирусные компании наверняка найдут решение этой проблемы.


Оцените статью: Голосов

Материалы по теме:
  • ZCryptor: новый опасный зловред для Windows
  • Вредоносное ПО маскируется под обновление до Windows 10
  • Windows 10 сделает процесс обновления дольше, но удобнее
  • Синий экран после обновления Windows 10 устранили
  • Windows 10 November Update: небезупречное обновление



  • Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет десять плюс десять?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    МАТЕРИАЛЫ    ОТ ПАРТНЁРОВ

    Copyright © 2006-2022 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+