SNS-amigo
SNS System Watch Freelance reporter
- Сообщения
- 4,897
- Решения
- 1
- Реакции
- 6,523
Проявился еще один криптовымогатель, созданный на основе проекта с открытым исходным кодом EDA2.
Fantom отображает поддельный экран обновления Windows, создавая иллюзию установки критического обновления Windows. Пока пользователь терпеливо ждёт установки "обновления", Fantom тем временем тайно шифрует файлы пользователя ПК.
В свойствах исполняемого файла WindowsUpdate.exe, принадлежащего крипто-вымогателю, прописано, что это "критическое обновление kb01" от Microsoft.
Фальшивый экран фальшивого обновления перекрывает все активные окна и не даёт переключиться на другие приложения. Как и положено в новых системах Windows на экране кружится процентный счетчик, увеличиваясь по мере увеличения числа зашифрованных файлов жертвы. Фантом-экран можно закрыть с помощью комбинации клавиш Ctrl + F4, поддельный процесс завершится и отобразится нормальных рабочий стол, но шифровальщик всё же продолжит свое чёрное дело в фоновом режиме. К зашифрованным файлам будет добавлено расширение .fantom.
По окончании шифрования два пакетных файла проведут зачистку и удалят тома теневых копий и файл WindowsUpdate.exe вымогателя. После этого жертва увидит записку о выкупе DECRYPT_YOUR_FILES.HTML, с ID_KEY и предложением связаться с вымогателями по email. Один из адресов зарегистрирован у Яндекса.
Список целевых расширений файлов довольно обширен - 582 расширения, по моим подсчетам.
Файлы, созданные Fantom Ransomware:
%AppData%\delback.bat
[Executable_Path]\WindowsUpdate.exe
[Executable_Path]\update.bat
%UserProfile%\2d5s8g4ed.jpg
Записи реестра, связанные с Fantom Ransomware:
HKCU\Control Panel\Desktop\ "Wallpaper" "%UserProfile%\How to decrypt your files.jpg"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1
Источник полного описания шифровальщика-вымогателя Fantom
Fantom отображает поддельный экран обновления Windows, создавая иллюзию установки критического обновления Windows. Пока пользователь терпеливо ждёт установки "обновления", Fantom тем временем тайно шифрует файлы пользователя ПК.
В свойствах исполняемого файла WindowsUpdate.exe, принадлежащего крипто-вымогателю, прописано, что это "критическое обновление kb01" от Microsoft.
Фальшивый экран фальшивого обновления перекрывает все активные окна и не даёт переключиться на другие приложения. Как и положено в новых системах Windows на экране кружится процентный счетчик, увеличиваясь по мере увеличения числа зашифрованных файлов жертвы. Фантом-экран можно закрыть с помощью комбинации клавиш Ctrl + F4, поддельный процесс завершится и отобразится нормальных рабочий стол, но шифровальщик всё же продолжит свое чёрное дело в фоновом режиме. К зашифрованным файлам будет добавлено расширение .fantom.
По окончании шифрования два пакетных файла проведут зачистку и удалят тома теневых копий и файл WindowsUpdate.exe вымогателя. После этого жертва увидит записку о выкупе DECRYPT_YOUR_FILES.HTML, с ID_KEY и предложением связаться с вымогателями по email. Один из адресов зарегистрирован у Яндекса.
Список целевых расширений файлов довольно обширен - 582 расширения, по моим подсчетам.
Файлы, созданные Fantom Ransomware:
%AppData%\delback.bat
[Executable_Path]\WindowsUpdate.exe
[Executable_Path]\update.bat
%UserProfile%\2d5s8g4ed.jpg
Записи реестра, связанные с Fantom Ransomware:
HKCU\Control Panel\Desktop\ "Wallpaper" "%UserProfile%\How to decrypt your files.jpg"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1
Источник полного описания шифровальщика-вымогателя Fantom