Eine aufgrund der verwendeten Dateiendung “Fantom” gennante Ransomware tarnt sich als dringendes Windows-Update. Während die Software im Hintergrund alle Dateien des Rechners verschlüsselt, zeigt sie den vertrauten Update-Bildschirm an, der Nutzer bittet, den Rechner nicht abzuschalten. Darauf hat Jakub Kroustek vom IT-Sicherheitsanbieter AVG hingewiesen.
Wie Bleeping Computer berichtet, wird die Malware vermutlich vor allem als angehängte Datei verbreitet. In den Datei-Eigenschaften beschreibt sie sich selbst mit Angaben wie “critical update kb01” und wirbt mit dem Hinweis “Copyright Microsoft 2016” um Vertrauen. Wird das Programm jedoch ausgeführt, extrahiert es das eingebettete Programm WindowsUpdate.exe, mit dem der vermeintliche Update-Bildschirm über alle anderen aktiven Fenster gelegt und der Wechsel zu anderen offenen Anwendungen verhindert wird.
Mit dem Update-Bildschirms hoffen die Hintermänner offenbar auch, einen plausiblen Grund für die verstärkten Laufwerksaktivitäten durch die Verschlüsselung zu geben. Wird der Update-Bildschirm geschlossen, sieht man zwar wieder den vorherigen Windows-Desktop, aber die Dateiverschlüsselung wird im Hintergrund fortgesetzt.
Die verschlüsselten Dateien werden um die Dateiendung .fantom erweitert. In jedem Ordner mit verschlüsselten Dateien legt die Malware eine HTML-Datei mit der Lösegeldforderung ab, die sie auch nach Abschluss ihrer Verschlüsselungsaktivitäten anzeigt.
Demnach wurden alle Dateien mit den Algorithmen RSA-4096 und AES-256 verschlüsselt. Die Entschlüsselung sei nur mit Schlüsseln möglich, die mna auf Anfrage bei einer in der Lösegeldforderung angegebenen E-Mail-Adresse bekomme. Zur Verschlüsselung verwenden die Unbekannten das Programm Eda2 von Utku Sen. Eda2 war früher schon von der Ransomware Magic genutzt worden. Sen stellte daraufhin sein Projekt ein und den Quelltext nur noch auf Anfrage Interessenten mit wissenschaftlichem Hintergrund zur Verfügung.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Um ihre Verteidigung zu stärken, müssen Staaten und Unternehmen sicherstellen, dass KRITIS-Betreiber nicht nur die…
Reichen die Sicherheitsvorkehrungen der KRITIS-Betreiber bereits aus? Das BSI liefert dazu Kennzahlen auf einer neuen…
Laut Kaspersky ist Schadsoftware die zweithäufigste Bedrohung. Angriffe auf vernetzte Fahrzeuge folgen erst mit Abstand.
Der deutsche Chipproduzent beliefert Xiaomi mit Siliziumkarbid-Leistungsmodulen (SiC), Mikrocontrollern und Gate-Treibern.
Fraunhofer-Forschende arbeiten an einer Webplattform, die die Lebensqualität von Menschen mit Parkinson verbessern soll.
Mit gemeinsamen Angeboten in den Bereichen Vermarktung, KI, Content und Cloud will man "unabhängigen Journalismus…