Ransomware
Fantom: Gefälschtes Windows Update ist ein Erpressungs-Trojaner
Ein Sicherheitsexperte fand mit „Fantom“ einen neuen Erpressungs-Trojaner. Dieser gibt sich nach einer Infektion als kritisches Windows Update aus.
Jakub Kroustek des Sicherheitsunternehmens AVG entdeckte einen neuen Erpressungs-Trojaner (Ransomware), den die Verantwortlichen auf den Namen Fantom getauft haben. Nach einer Infektion öffnet Fantom ein neues Fenster, das dem Update-Prozess von Windows nachempfunden ist. Dem Nutzer wird vorgegaukelt, dass der Rechner ein kritisches Windows-Update installiert. In Wirklichkeit jedoch verschlüsselt der Schädling persönliche Dateien des Nutzers.
Sicherheitsforscher der Website bleepingcomputer.com haben sich die Ransomware Fantom näher angeschaut. In den Dateieigenschaften des Trojaners finden sich tatsächlich Angaben, die einen Ursprung bei Microsoft nahelegen sollen. So gibt sich der Trojaner mit der Urheberrechtsangabe „Copyright Microsoft 2016“ als Werk des Windows-Herstellers aus, als Dateibeschreibung hält der Schädling die Angabe „critical update“ (kritisches Update) parat. Dabei handelt es sich natürlich um klare Falschangaben.
Wird der Trojaner Fantom ausgeführt, startet sich ein eingebettetes Programm mit dem Namen „WindowsUpdate.exe“, das den oben zu sehenden Bildschirm anzeigt und die Verschlüsselung beginnen lässt. Das Programm führt sich selbst im Vollbildmodus aus, scheinbar ohne Möglichkeiten zum Abbruch. Zwar helfe die Tastenkombination „Alt“ + „F4“ zum Schließen des Vollbildfensters. Es lässt sich jedoch nicht verhindern, dass sich Fantom an den Nutzerdateien zu schaffen macht.
Gefundene Dateien bekommen die Endung „.fantom“ und werden per AES-128-Algorithmus verschlüsselt. Bei allen diesen Dateien findet sich ein Dokument mit dem Namen „DECRYPT_YOUR_FILES.HTML“, das Hinweise zur Kontaktaufnahme und Bezahlung der Lösegeldsumme an die Verantwortlichen bereithält. Schließlich ändert der Trojaner noch das Hintergrundbild und fordert zur Kontaktaufnahme aus. Um den Forderungen Nachdruck zu verleihen, bleibe dem Nutzer nur eine Woche Zeit.
Wie viel Lösegeld der Nutzer zahlen soll, ist unklar. In der Regel sollten Sie dem jedoch nicht nachkommen. Es ist bisher auch unbekannt, wie sich Fantom verbreitet. Typisch wären Anhänge in E-Mails oder präparierte Webseiten. Behelfen können Sie sich mit aktuellen Antiviren-Scannern sowie regelmäßigen Backups Ihrer Daten.
Weiter zur Startseite
