Novo ransomware Fantom finge ser o Windows Update

De acordo com informações do site BleepingComputer, o ransomware Fantom descoberto recentemente pela AVG Technologies exibe uma tela falsa do Windows Update enquanto criptografa os arquivos do usuário.

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser reestabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.

No caso destes dois últimos, a Kaspersky disponibilizou em novembro passado uma ferramenta que varre o computador do internauta e recupera os arquivos sequestrados.

A Malwarebytes lançou seu Malwarebytes Anti-Ransomware Beta e a BitDefender também disponibilizou seu Bitdefender Anti-Ransomware.

Já a Emsisoft lançou recentemente o site Emsisoft Decrypter. O site atualmente conta com 14 ferramentas gratuitas para ajudar na recuperação de arquivos bloqueados por ransomwares como AutoLocky, DMALocker2, HydraCrypt e CrypBoss.

Por fim, a AVG disponibilizou recentemente seis ferramentas gratuitas para ajudar vítimas de ransomwares e a Trend Micro disponibilizou uma versão atualizada da ferramenta Trend Micro Ransomware File Decryptor.

Ransomware Fantom

De acordo com o site, o ransomware Fantom chega disfarçado como se fosse uma atualização crítica do Windows. A tela de propriedades do arquivo exibe até mesmo informações de copyright da Microsoft para enganar os usuários:

Se o usuário executar o arquivo, o ransomware será descompactado e executará outro programa chamado WindowsUpdate.exe. Este outro programa exibirá a tela falsa do Windows Update mostrada abaixo enquanto criptografa os arquivos do usuário:

Um detalhe é que enquanto esta tela é exibida, o usuário não consegue alternar entre aplicativos.

É possível fechar a tela falsa exibida pelo ransomware Fantom usando Alt + F4. O problema é que mesmo com a tela fechada, o processo de criptografia dos arquivos continua em segundo plano.

Para criptografar os arquivos, o ransomware primeiro analisa o disco rígido em busca de arquivos com as extensões suportadas por ele:

Depois de localizados, os arquivos com as extensões suportadas serão criptografados usando AES-128 e receberão a extensão .fantom. Por exemplo, um arquivo casa.jpg criptografado por ele ficará com a extensão casa.jpg.fantom.

O ransomware Fantom também criará em cada pasta contendo arquivos criptografados o “pedido de resgate” DECRYPT_YOUR_FILES.HTML.

Ele também criará dois arquivos de lote que serão executados quando o processo de criptografia for concluído. Estes arquivos de lote apagarão as cópias de sombra dos arquivos e o programa que exibe a tela falsa do Windows Update:

Por último, o ransomware Fantom exibirá o “pedido de resgate” DECRYPT_YOUR_FILES.HTML. Ele inclui um ID_KEY e instruções para que a vítima envie um email para fantomd12@yandex.ru ou fantom12@techemail.com se quiser ter seus arquivos de volta:

Enquanto o pagamento do resgate não for feito, a imagem abaixo será exibida como papel de parede na área de trabalho:

A má notícia é que ainda não descobriram uma forma de desbloquear os arquivos criptografados pelo ransomware Fantom. É recomendado que os usuários mantenham o sistema operacional e suas soluções antivírus sempre atualizados.

Também é preciso ter cuidado redobrado com emails que contenham anexos enviados por contatos desconhecidos.

fonte: baboo.com.br