SSL信息请准备好新一波来自勒索软件的深深恶意!一个近期新发现的勒索软件Fantom,通过伪装成合法的微软Windows升级程序、诱导用户下载,来窃取用户数据。在当下系统表面安全,实则处处暗藏漏洞、危机重重的信息时代,恶意软件正前仆后继地冲击你的安全防线。而这一相当精妙的恶意软件是由安全公司AVG的恶意软件研究者Jakub Kroustek发现的。
我们知道,勒索软件是指黑客用来阻塞系统和加密用户文件以阻止用户正常打开和使用的一种恶意软件。同时,它也会阻止应用运行。这样一来,遭到入侵的用户就需要向黑客支付赎金换取系统回复正常工作,使文件和应用可以正常打开和使用。目前,恶意勒索软件攻击的数量正在增长,最近几个月,很多机构受到它的威胁。
Fantom 如何运作?
Fantom 是基于开源EDA2项目的勒索软件,它以虚假的Windows Update Screen更新程序的形象出现。这个假冒的更新程序会让你认为Windows将要安装一个新的重要更新。就连这个恶意软件的文件属性也会使你相信它,因为该软件的文件属性声明来自微软公司,其文件描述为“重要更新”。
当你相信这是一个真实的Windows更新时,你可能会执行该程序。于是这个勒索软件就会解压并执行另一个叫做WindowsUpdate.exe的嵌入程序,然后一个虚假的Windows更新程序的界面就会显示在屏幕上。这时屏幕就会覆盖住所有的活动窗口,你不能切换到任何其他应用程序。你会在更新界面上看到一个进度百分比,这会使你相信Windows更新正在进行中,而实际上屏幕上百分比增加的同时你的文件一直在被加密。尽管Ctrl+F4组合键可以帮你关掉这个屏幕,但文件加密进程仍在后台运行。
与其他基于EDA2的恶意软件类似,Fantom也会生成一个 随机的AES-128密钥并用RSA算法将其加密。然后密钥会被上传到该软件开发者的命令控制服务器。软件还会扫描本地磁盘来查找具有指定扩展名的文件。这些文件也会被进行AES-128加密,每个加密的文件会添加“.fantom”扩展名。在Fantom加密文件的目录中,还会产生一个勒索标记文件DECRYPT_YOUR_FILES.HTML。加密完成后,Fantom生成两个批处理文件,执行后,删除其中的卷影拷贝和此前的虚假更新界面。
最后来看看勒索标记文件DECRYPT_YOUR_FILES.HTML。其中会记录着,只有向黑客购买口令才能恢复你的数据。还会指示你发送邮件到fantomd12@yandex.ru或 fantom12@techemail.com以接收付款说明。它还会警告你不要尝试恢复文件,因为这会彻底破坏你的数据。
尽管黑客运用很多不同的策略来进行恶意软件攻击,但Fantom是其中很巧妙的一个。攻击者模仿一个包括商业用户在内的大多数用户都会认可和相信的更新程序。这很容易使人们相信自己会得到一个合法的Windows 更新程序并导致人们下载Fantom。深度伪装,恶毒加密,这可能是所有恶意软件中最危险的一种。
各位看官,你们准备好接招了吗?
来源:Comodo