勒索軟件Fantom新偽裝 Windows更新其實背後加密

我們經常呼籲大家定期更新操作系統和軟件,以堵塞安全漏洞提升保安水平。近日發現一款名為Fantom的勒索軟件利用這個概念,用作分散用戶的注意力,當用戶發現的時候,可能檔案已經被加密。
fantom-ransomware-featured

掩眼法暗地裡進行加密
Fantom採用EDA2開源勒索軟件編碼,網絡上有不少相似的勒索程式。當它成功在電腦上執行,便會開始一般的加密勒索程序,產生加密金鑰,進行加密再放到C&C伺服器。完成後程式會開始掃瞄電腦內可加密的檔案(超過350種,包括文件、聲音和圖像檔),並改變成.fantom的副檔名,全部動作都在暗地裡進行,有趣的部份會顯示在受害者眼前。

「Windows更新」顯示加密進度
當惡意程式開始運作,它會執行兩個程式,一個是加密程式,另一個就看似普通的「WindowsUpdate.exe」,作用是模仿Windows更新的畫面,當背後正在加密的時候,畫面顯示著「更新」的進度,實際上是加密的進度!當中狡猾的地方,是透過更新視窗畫面降低用戶的疑心,其實用戶按Ctrl+F4把畫面縮小,不過無法停止Fantom對檔案進行加密
windows-update-screen

典型俄羅斯黑客的犯案方式
檔加密完成,Fantom便會把所有執行檔刪除以免留下蛛絲馬跡,並產生一個.html的勒索訊息檔案,然後放入每個資料夾,與及轉換成為桌面壁紙。罪犯留下email地址,為日後商討支付贖金及其他指示提供聯絡方法。

這種留下聯絡方式「講價」的手法,是俄羅斯黑客常用的方式,特色是英文程度非常低,而Fantom更被研究人員評為文法和文字屬於史無前例最差一款。

暫無法破解「預防」為上策
很不幸Fantom暫時未被攻破,暫時無法免費解密(不建議支付贖金助長罪犯),所以大家還是留意以下重點,「預防勝於治療」!

1. 定期更新檔案到離線的儲存裝置,即使不幸受感染,仍然能從備份中取會檔案,備份的動作可以透過 Kaspersky Total Security 協助自動進行。

2. 不要打開可疑的電郵附件,遠離可欵網站和不要點擊可疑的網上廣告,大部份惡意程式都採用以上3種方法進行傳播。

3. 使用可靠的保安方案,Kaspersky Internet Security 已經能偵深到Fantom,即使有更先進的勒索軟件能夠暫時突破防禦,System Watcher 的功能也能夠監視可疑動作,再加以攔截!

Comments are closed