Fantom, il ransomware si traveste da Windows Update e cripta i file

Fantom, il ransomware si traveste da Windows Update e cripta i file

Fantom è il nome del cryptovirus che si mimetizza sotto una falsa schermata di Windows Update: mentre l'utente crede che il servizio di Microsoft stia aggiornando il sistema, il ransomware cripta i file chiedendo un riscatto per renderli nuovamente accessibili.

di pubblicata il , alle 16:01 nel canale Sicurezza
Windows
 

Jackub Kroustek, ricercatore di malware per AVG, ha recentemente scoperto un nuovo ransomware di nome Fantom che sfrutta una falsa schermata di Windows Update contenente il riferimento alla necessità di installare un aggiornamento critico. Mentre la (falsa) procedura di aggiornamento di Windows viene portata a termine, Fantom provvede a crittografare i file personali dell'utente

Fantom è quindi un cryptovirus, ovvero un malware che tiene in ostaggio i file personali dell'utente, chiedendo un riscatto per renderli nuovamente accessibili. Fantom si installa nel sistema tramite l'eseguibile a.exe che, per mascherare la sua natura di malware, riporta tra le proprietà del file la dicitura 'critical update' e il riferimento a 'Copyright Microsoft 2016'.  

fake windows

La falsa schermata di Windows Update svia l'attenzione dell'utente, mentre Fantom cripta i file dell'utente (fonte: Bleeping Computer)

Quando il programma viene eseguito, dà il via all'estrazione e all'esecuzione di un'altra applicazione denominata 'WindowsUpdate.exe' che mostra la falsa schermata di Windows Update. Gli accorgimenti per trarre in inganno l'utente non mancano: la schermata riporta un indicatore con la percentuale di avanzamento dell'installazione dell'update e invita a non spegnere il PC. Un accorgimento adottato per sviare l'attenzione dell'utente e non insospettirlo a causa dell'incremento dell'attività sul disco determinata dalla crittografia dei file che avviene in background.

La vittima può chiudere la finestra con la combinazione di tasti Ctrl + F4, ma l'azione non interromperà la crittografia dei file che proseguirà. Terminata la fase della crittografia, Fantom genera una chiave AES-128 che viene caricata sul server C&C (Command&Control) del malware. Successivamente, il ransomware si svela all'utente tramite il file DECRYPT_YOUR_FILES.HTML contenente l'ID_KEY della vittima e le istruzioni da seguire per inviare il pagamento ed ottenere il software che permette di rimuovere la crittografia. 

html

Dopo aver portato a termine l'attività di crittografia dei file dell'utente, Fantom si mostra alla vittima chiedendo il pagamento del riscatto tramite il file DECRYPT_YOUR_FILES.HTML

Fantom è un cryptovirus particolarmente nocivo, non solo per le modalità di azione, ma anche perché, al momento, non sono noti metodi che permettono di rimuovere la crittografia dei file. Gli esperti sottolineano a riguardo che le tradizionali tecniche per combattere i ransomware basati su EDA2 (il kit ransomware open source) risultano inefficaci con la particolare variante scoperta da Kroustek. Come ricordato in altre occasioni, il metodo più efficace per combattere Fantom, così come altri cryptovirus analoghi, è quello della prevenzione. 

Fantom è una delle tante varianti di ransomware, una tipologia di malware di cui si è tornato a parlare con una maggior frequenza nel corso del 2016 a seguito della diffusione di versioni particolarmente difficili da intercettare anche per gli antivirus più aggiornati. Fantom, con la sua truffaldina falsa schermata di Windows Update e un algoritmo crittografico particolarmente difficile da superare, rientra in tale sotto-categoria.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

33 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Il Picchio26 Agosto 2016, 16:06 #1
Schermate verosimili, nomi un minimo azzeccati e si va a truffare l'utente sprovveduto.

Finche non si installerà automaticamente solo aprendo un'e-mail(senza cliccare nulla) o solo visualizzando un sito internet, verrà eseguito dalle stesse persone che cliccano su "sei il milionesimo visitatore".
Sempre più convinto che un corso di internet sia da inserire tra le materie scolastiche di base
PeK26 Agosto 2016, 16:42 #2
ma per difendersi da 'sta roba?
basta non scaricare da siti strani oppure sfrutta un exploit in remoto?
se ho il windows defender aggiornato è sufficiente?
matsnake8626 Agosto 2016, 17:05 #3
Gli antivirus non possono nulla contro un esplicito consenso da parte dell'utente.

L'unico modo per difendersi è collegare il cervello prima di dire "ok esegui" a qualunque cosa venga fuori a video.
Triggio.Dark.Elf26 Agosto 2016, 17:29 #4
Ho personalmente subito infezione da cryptolocker e posso affermare che non sono necessariamente semplici da intercettare. Il virus è stato scaricato e installato da un altro malware, a sua volta acquisito con la semplice navigazione su browser, per poi installarsi al primo riavvio del PC il giorno successivo. La vera novità è che questi malware sono in grado di rendere inaccessibili dati su dischi perfettamente integri, indipendentemente dal buon funzionamento del sistema operativo. La prima contromisura è una copia/immagine di backup su disco esterno scollegato dal PC. La seconda contromisura é l'installazione della beta di Malwarebytes-Antiransonware, che blocca direttamente il codice del ransomware in fase di criptaggio.
Triggio.Dark.Elf26 Agosto 2016, 17:38 #5
C'è da aggiungere che questi malware sono perfettamente in grado di far danni su computer non infetti dal momento in cui i propri dati sono condivisi su una rete locale o su un server. Purtroppo ha già sentito di 3 casi di infezione tra amici e conoscenti. La consapevolezza dell'esistenza di questo virus è servita a prevenire danni nell'ultimo caso (arrestando tutti i PC della rete e procedendo alla verifica di ogni singolo PC, contenendo così l'infezione ad un solo PC, ripulito e ripristinato in breve termine).
luki26 Agosto 2016, 18:40 #6
Ovviamente proprio come gli aggiornamenti di Windows 10 si installa automaticamente all'insaputa dell'utente senza che l'utente faccia niente

Se avessi disattivato gli aggiornamenti e poi vedrei una schermata di aggiornamento qualche sospetto mi verrebbe.. Ma comunque ormai sarebbe troppo tardi.
sintopatataelettronica26 Agosto 2016, 19:14 #7
Meno male che ho windows7 e l'aggiornamento COMPLETAMENTE automatico disabilitato: me lo scelgo io cosa aggiornare e quando farlo..

Di certo se mi si aprisse la schermata di aggiornamento di Windows 10.. qualche sospetto che qualcosa non va mi verrebbe
creepring26 Agosto 2016, 21:09 #8
oggi una mia collega sprovveduta ha ricevuto una mail proveniente da comunicazioni@ staff.aruba.it di una presunta fattura, c'era un allegato .zip contenente un file fatturaXXX.pdf.exe che ovviamente ha lanciato Si è aperta una finestra che sembrava quella di Windows update (le pop up che chiede di lanciare l'aggiornamento per intenderci) ma vedendo che l'allegato non si apriva mi ha chiamato, ho subito chiuso sta finestra, guardato che l'allegato era "zaffo" e li via a cagarmi in mano...
Fortunatamente sembra che non sia partito il criptaggio, questa stessa collega si è beccata nello stesso identico modo a LUGLIO un ramsonware perdendo 1 anno di lavoro, purtroppo contro l'ignoranza informatica non c'è rimedio...
Paky26 Agosto 2016, 21:14 #9
Originariamente inviato da: creepring
questa stessa collega si è beccata nello stesso identico modo a LUGLIO un ramsonware perdendo 1 anno di lavoro, purtroppo contro l'ignoranza informatica non c'è rimedio...


io l'ho sempre detto che perseverare non è diabolico...
è semplicemente da idioti
Persilù26 Agosto 2016, 21:26 #10
Non ci sono cazzi....I backup, possibilmente incrementali e su dischi esterni che vengono poi scollegati, diventano sempre più importanti da fare.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^