Fantom, il ransomware si traveste da Windows Update e cripta i file

Jackub Kroustek, ricercatore di malware per AVG, ha recentemente scoperto un nuovo ransomware di nome Fantom che sfrutta una falsa schermata di Windows Update contenente il riferimento alla necessità di installare un aggiornamento critico. Mentre la (falsa) procedura di aggiornamento di Windows viene portata a termine, Fantom provvede a crittografare i file personali dell'utente. 

Fantom è quindi un cryptovirus, ovvero un malware che tiene in ostaggio i file personali dell'utente, chiedendo un riscatto per renderli nuovamente accessibili. Fantom si installa nel sistema tramite l'eseguibile a.exe che, per mascherare la sua natura di malware, riporta tra le proprietà del file la dicitura 'critical update' e il riferimento a 'Copyright Microsoft 2016'.  

La falsa schermata di Windows Update svia l'attenzione dell'utente, mentre Fantom cripta i file dell'utente (fonte: Bleeping Computer)

Quando il programma viene eseguito, dà il via all'estrazione e all'esecuzione di un'altra applicazione denominata 'WindowsUpdate.exe' che mostra la falsa schermata di Windows Update. Gli accorgimenti per trarre in inganno l'utente non mancano: la schermata riporta un indicatore con la percentuale di avanzamento dell'installazione dell'update e invita a non spegnere il PC. Un accorgimento adottato per sviare l'attenzione dell'utente e non insospettirlo a causa dell'incremento dell'attività sul disco determinata dalla crittografia dei file che avviene in background.

La vittima può chiudere la finestra con la combinazione di tasti Ctrl + F4, ma l'azione non interromperà la crittografia dei file che proseguirà. Terminata la fase della crittografia, Fantom genera una chiave AES-128 che viene caricata sul server C&C (Command&Control) del malware. Successivamente, il ransomware si svela all'utente tramite il file DECRYPT_YOUR_FILES.HTML contenente l'ID_KEY della vittima e le istruzioni da seguire per inviare il pagamento ed ottenere il software che permette di rimuovere la crittografia. 

Dopo aver portato a termine l'attività di crittografia dei file dell'utente, Fantom si mostra alla vittima chiedendo il pagamento del riscatto tramite il file DECRYPT_YOUR_FILES.HTML

Fantom è un cryptovirus particolarmente nocivo, non solo per le modalità di azione, ma anche perché, al momento, non sono noti metodi che permettono di rimuovere la crittografia dei file. Gli esperti sottolineano a riguardo che le tradizionali tecniche per combattere i ransomware basati su EDA2 (il kit ransomware open source) risultano inefficaci con la particolare variante scoperta da Kroustek. Come ricordato in altre occasioni, il metodo più efficace per combattere Fantom, così come altri cryptovirus analoghi, è quello della prevenzione. 

Fantom è una delle tante varianti di ransomware, una tipologia di malware di cui si è tornato a parlare con una maggior frequenza nel corso del 2016 a seguito della diffusione di versioni particolarmente difficili da intercettare anche per gli antivirus più aggiornati. Fantom, con la sua truffaldina falsa schermata di Windows Update e un algoritmo crittografico particolarmente difficile da superare, rientra in tale sotto-categoria.