• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Fantom: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Проявился еще один криптовымогатель, созданный на основе проекта с открытым исходным кодом EDA2.

Fantom отображает поддельный экран обновления Windows, создавая иллюзию установки критического обновления Windows. Пока пользователь терпеливо ждёт установки "обновления", Fantom тем временем тайно шифрует файлы пользователя ПК.
ф1.jpg
ф2.png

В свойствах исполняемого файла WindowsUpdate.exe, принадлежащего крипто-вымогателю, прописано, что это "критическое обновление kb01" от Microsoft.

Фальшивый экран фальшивого обновления перекрывает все активные окна и не даёт переключиться на другие приложения. Как и положено в новых системах Windows на экране кружится процентный счетчик, увеличиваясь по мере увеличения числа зашифрованных файлов жертвы. Фантом-экран можно закрыть с помощью комбинации клавиш Ctrl + F4, поддельный процесс завершится и отобразится нормальных рабочий стол, но шифровальщик всё же продолжит свое чёрное дело в фоновом режиме. К зашифрованным файлам будет добавлено расширение .fantom.

По окончании шифрования два пакетных файла проведут зачистку и удалят тома теневых копий и файл WindowsUpdate.exe вымогателя. После этого жертва увидит записку о выкупе DECRYPT_YOUR_FILES.HTML, с ID_KEY и предложением связаться с вымогателями по email. Один из адресов зарегистрирован у Яндекса.
ф3.png

Список целевых расширений файлов довольно обширен - 582 расширения, по моим подсчетам.

Файлы, созданные Fantom Ransomware:
%AppData%\delback.bat
[Executable_Path]\WindowsUpdate.exe
[Executable_Path]\update.bat
%UserProfile%\2d5s8g4ed.jpg

Записи реестра, связанные с Fantom Ransomware:
HKCU\Control Panel\Desktop\ "Wallpaper" "%UserProfile%\How to decrypt your files.jpg"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1

Источник полного описания шифровальщика-вымогателя Fantom
 
Назад
Сверху Снизу