SNS-amigo
SNS System Watch Freelance reporter
- Сообщения
- 4,897
- Реакции
- 6,523
Проявился еще один криптовымогатель, созданный на основе проекта с открытым исходным кодом EDA2.
Fantom отображает поддельный экран обновления Windows, создавая иллюзию установки критического обновления Windows. Пока пользователь терпеливо ждёт установки "обновления", Fantom тем временем тайно шифрует файлы пользователя ПК.
В свойствах исполняемого файла WindowsUpdate.exe, принадлежащего крипто-вымогателю, прописано, что это "критическое обновление kb01" от Microsoft.
Фальшивый экран фальшивого обновления перекрывает все активные окна и не даёт переключиться на другие приложения. Как и положено в новых системах Windows на экране кружится процентный счетчик, увеличиваясь по мере увеличения числа зашифрованных файлов жертвы. Фантом-экран можно закрыть с помощью комбинации клавиш Ctrl + F4, поддельный процесс завершится и отобразится нормальных рабочий стол, но шифровальщик всё же продолжит свое чёрное дело в фоновом режиме. К зашифрованным файлам будет добавлено расширение .fantom.
По окончании шифрования два пакетных файла проведут зачистку и удалят тома теневых копий и файл WindowsUpdate.exe вымогателя. После этого жертва увидит записку о выкупе DECRYPT_YOUR_FILES.HTML, с ID_KEY и предложением связаться с вымогателями по email. Один из адресов зарегистрирован у Яндекса.
Список целевых расширений файлов довольно обширен - 582 расширения, по моим подсчетам.
Файлы, созданные Fantom Ransomware:
%AppData%\delback.bat
[Executable_Path]\WindowsUpdate.exe
[Executable_Path]\update.bat
%UserProfile%\2d5s8g4ed.jpg
Записи реестра, связанные с Fantom Ransomware:
HKCU\Control Panel\Desktop\ "Wallpaper" "%UserProfile%\How to decrypt your files.jpg"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1
Источник полного описания шифровальщика-вымогателя Fantom
Fantom отображает поддельный экран обновления Windows, создавая иллюзию установки критического обновления Windows. Пока пользователь терпеливо ждёт установки "обновления", Fantom тем временем тайно шифрует файлы пользователя ПК.
![ф1.jpg ф1.jpg](https://www.safezone.cc/data/attachments/25/25496-1ed61ec9c7ef9e280c9a499d036bb48d.jpg)
![ф2.png ф2.png](https://www.safezone.cc/data/attachments/25/25497-006249c6f251c6f5881c76faf50535ed.jpg)
В свойствах исполняемого файла WindowsUpdate.exe, принадлежащего крипто-вымогателю, прописано, что это "критическое обновление kb01" от Microsoft.
Фальшивый экран фальшивого обновления перекрывает все активные окна и не даёт переключиться на другие приложения. Как и положено в новых системах Windows на экране кружится процентный счетчик, увеличиваясь по мере увеличения числа зашифрованных файлов жертвы. Фантом-экран можно закрыть с помощью комбинации клавиш Ctrl + F4, поддельный процесс завершится и отобразится нормальных рабочий стол, но шифровальщик всё же продолжит свое чёрное дело в фоновом режиме. К зашифрованным файлам будет добавлено расширение .fantom.
По окончании шифрования два пакетных файла проведут зачистку и удалят тома теневых копий и файл WindowsUpdate.exe вымогателя. После этого жертва увидит записку о выкупе DECRYPT_YOUR_FILES.HTML, с ID_KEY и предложением связаться с вымогателями по email. Один из адресов зарегистрирован у Яндекса.
![ф3.png ф3.png](https://www.safezone.cc/data/attachments/25/25498-604010d9ea30c918a7b6e4e0da8b406b.jpg)
Список целевых расширений файлов довольно обширен - 582 расширения, по моим подсчетам.
Файлы, созданные Fantom Ransomware:
%AppData%\delback.bat
[Executable_Path]\WindowsUpdate.exe
[Executable_Path]\update.bat
%UserProfile%\2d5s8g4ed.jpg
Записи реестра, связанные с Fantom Ransomware:
HKCU\Control Panel\Desktop\ "Wallpaper" "%UserProfile%\How to decrypt your files.jpg"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1
Источник полного описания шифровальщика-вымогателя Fantom