• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,049
Проявился еще один криптовымогатель, созданный на основе проекта с открытым исходным кодом EDA2.

Fantom отображает поддельный экран обновления Windows, создавая иллюзию установки критического обновления Windows. Пока пользователь терпеливо ждёт установки "обновления", Fantom тем временем тайно шифрует файлы пользователя ПК.
1
2

В свойствах исполняемого файла WindowsUpdate.exe, принадлежащего крипто-вымогателю, прописано, что это "критическое обновление kb01" от Microsoft.

Фальшивый экран фальшивого обновления перекрывает все активные окна и не даёт переключиться на другие приложения. Как и положено в новых системах Windows на экране кружится процентный счетчик, увеличиваясь по мере увеличения числа зашифрованных файлов жертвы. Фантом-экран можно закрыть с помощью комбинации клавиш Ctrl + F4, поддельный процесс завершится и отобразится нормальных рабочий стол, но шифровальщик всё же продолжит свое чёрное дело в фоновом режиме. К зашифрованным файлам будет добавлено расширение .fantom.

По окончании шифрования два пакетных файла проведут зачистку и удалят тома теневых копий и файл WindowsUpdate.exe вымогателя. После этого жертва увидит записку о выкупе DECRYPT_YOUR_FILES.HTML, с ID_KEY и предложением связаться с вымогателями по email. Один из адресов зарегистрирован у Яндекса.
3

Список целевых расширений файлов довольно обширен - 582 расширения, по моим подсчетам.

Файлы, созданные Fantom Ransomware:
%AppData%\delback.bat
[Executable_Path]\WindowsUpdate.exe
[Executable_Path]\update.bat
%UserProfile%\2d5s8g4ed.jpg

Записи реестра, связанные с Fantom Ransomware:
HKCU\Control Panel\Desktop\ "Wallpaper" "%UserProfile%\How to decrypt your files.jpg"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1

Источник полного описания шифровальщика-вымогателя Fantom
 
Сверху Снизу