Ransomware Fantom 02.09.2016, 18:07 Uhr

Trojaner tarnt sich als kritisches Windows-Update

Der Erpresser-Trojaner Fantom tarnt sich als kritisches Windows-Update, um besorgte Nutzer zu überlisten. Einmal im System eingedrungen, beginnt die Schadsoftware mit der Verschlüsselung von Verzeichnissen.
Wallpaper von Fantom
(Quelle: BleepingComputer)
"Windows-Update" mit schweren Folgen: Die Ransomware Fantom gibt sich als kritisches System-Update aus, um unerfahrene Nutzer zur Installation zu bewegen. Wie die IT-Webseite BleepingComputer berichtet, wurde der Schädling von dem AVG-Sicherheitsexperten Jakub Kroustek entdeckt.
Dateieigenschaften von Fantom
Eigenschaften: Die Ransomware tarnt sich als Windows-Update.
Quelle: BleepingComputer
Fantom gelangt als herkömmliche EXE-Datei auf das System. In den Dateieigenschaften gibt der Schädling vor, ein kritisches Windows-Update von Microsoft zu sein. Sobald diese Datei ausgeführt wird, entpackt die Schadsoftware ein weiteres Tool zur Tarnung mit dem Namen WindowsUpdate.exe. Dieses führt ein Bildschirm-Overlay aus, das den Windows-Update-Screen nachahmt.
Während das vorgetäuschte Update läuft, beginnt die Ransomware bereits damit, Verzeichnisse zu verschlüsseln und darin enthaltene Dateien mit der Endung .fantom zu versehen. Dabei kommt eine AES-Verschlüsselung mit 128 Bit Schlüssellänge zum Einsatz. Der Schlüssel wird automatisch an den Kontroll-Server des Urhebers gesendet.
Ausserdem platziert die Ransomware in jedem Ordner eine HTML-Datei mit dem Namen DECRYPT_YOUR_FILES. Diese Datei führt die Schadsoftware nach der Verschlüsselung aus, sie öffnet ein Browser-Fenster mit dem Erpresser-Schreiben des Urhebers. Anschliessend lädt Fantom ein Hintergrund-Wallpaper mit den Kontaktdaten für die Entschlüsselung herunter. Die Erpresser verwenden unter anderem eine Mailadresse von dem russischen Anbieter Yandex.
Seite 1/2
Auf einer Seite lesen
  1. Trojaner tarnt sich als kritisches Windows-Update
  2. Erpresser keinesfalls bezahlen
Artikel drucken
Stefan Bordel
Das könnte Sie auch interessieren
#LockedShields2024 vor 2 Tagen
Auch Schweizer Armee nimmt an grösster internationaler Cyber-Übung teil
Das Kommando Cyber der Schweizer Armee nimmt im April zusammen mit nationalen und internationalen Partnern an der weltweit grössten Cyber Defense Übung #LockedShields2024 teil.
 
vor 2 Tagen
WebGPU 15.04.2024
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
 
15.04.2024
Betrugsversuch 14.04.2024
Angeblicher TWINT-Gutschein entpuppt sich als Account Takeover
Cyberkriminelle versprechen in einem E-Mail, welches angeblich von TWINT stammt, einen Treuegutschein im Wert von 100 Franken. Mit den erhaltenen Informationen versuchen die Betrüger das TWINT-Konto zu übernehmen.
 
14.04.2024
World Cybercrime Index 11.04.2024
Cybercrime konzentriert sich auf sechs Länder
China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend.
 
11.04.2024