377ccead-de00-448a-a6fb-fa0f567381b0
اشتراک

باج افزار Fantom در قالب بروزرسانی ویندوز در سیستم قربانیان نصب می‌شود

میلاد نویسنده: میلاد تاریخ: دسته بندی: اخبار 1

محقق موسسه‌ی امنیتی AVG یک باج افزار یا Ransomware را با عنوان Fantom کشف کرده که خود را در قالب یک بروزرسانی ضروری برای سیستم عامل ویندوز به کاربران تحمیل می‌کند. قربانیان پس از تایید دریافت این باج‌افزار پنجره‌ای را شبیه به بروزرسانی سیستم خود مشاهده می‌کنند، اما چیزی که در پشت صحنه اتفاق می‌افتد، کد شدن تمام اطلاعاتی است که در حافظه‌ی رایانه‌ی کاربر ذخیره شده است.

فانتوم مبتنی بر پروژه‌ی باج افزار متن باز EDA2 توسعه یافته و متاسفانه نمی‌توان اطلاعات را بدون کمک شخصی که این باج‌افزار را توسعه داده، کدگشایی کرد. هرچند ممکن است کاربران حرفه‌ای و کمی کاربلد بتوانند اینگونه خطرات را در زمان استفاده از رایانه‌ی خود تشخیص دهند، اما کاربران آماتور به راحتی در دام باج‌افزار‌ها و بدافزارهای این چنینی می‌افتند.

همانطور که اشاره کردیم این باج‌افزار با باز شدن یک پنجره‌ی پاپ آپ که خبر از وجود یک بروزرسانی ضروری برای ویندوز می‌دهد، سعی می‌کند تا نظر کاربران را جلب کند. این باج افزار پس از تایید کاربر یک فایل اجرایی امبد شده با نام WindowsUpdate.exe را اجرا می‌کند. پس از اجرای این فایل، پنجره‌ای که کاملا شبیه به بروزرسانی ویندوز است باز شده و عملیات را در پشت صحنه انجام می‌دهد. حتی یک پیغام مبنی بر اینکه نباید رایانه را خاموش کرد، برای کاربر نمایش می‌دهد. کاربر می‌تواند با ترکیب کلید‌های Ctrl+F4 پنجره را ببندد، اما باج افزار در پشت صحنه همچنان به کدگذاری فایل‌ها ادامه می‌دهد.

d9eeb6e6-ba97-40a3-a756-0bdcb7271e85

با توجه به اینکه فانتوم مبتنی بر EDA2 توسعه یافته، از این‌رو این باج افزار با تولید یک کلید با AES-128 و استفاده از روش کدگذاری RSA تمام فایل‌ها را غیرقابل استفاده می‌کند. تمام فایل‌های کد شده با پسوند fantom. نمایش داده خواهند شد. همچنین یک نوت نیز در فولدرهایی که حاوی فایل‌های کد شده هستند، برای کاربر باقی گذاشته می‌شود.

کاربرانی که آلوده شده باشند باید ایمیلی را به توسعه دهنده‌ی باج افزار ارسال کرده و دستورات بعدی را دریافت کنند. هنوز مشخص نیست که در صورت آلوده شدن به این باج افزار چه میزان هزینه از قربانیان دریافت می‌شود.

این مطالب هم بخوانید


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *