2217442

Fantom: Erpresser-Trojaner tarnt sich als Windows Update

29.08.2016 | 10:34 Uhr |

Sicherheitsexperten warnen vor einer neuen Ransomware, die sich als Windows Update tarnt, um Nutzer hereinzulegen.

Im Netz kursiert eine neue Ransomware, die sich als Windows Update tarnt. Entdeckt wurde die Malware, die sich vermutlich vor allem über Mail-Anhänge verbreitet, von dem AVG-Sicherheitsexperten Jakub Kroustek. Konkrete Angaben zu der Verbreitungsmethode macht Kroustek aber nicht. Die Ransomware tarnt sich als Windows Update und verwendet auch typische Windows-Update-Bildschirme, um den Anwender zu täuschen. Aus diesem Grund wurde dem Erpresser-Trojaner auch der Name Fantom gegeben.

Ransomware entschlüsseln: So entfernen Sie (fast) jeden Erpresser-Trojaner

Der ersten Analyse von Bleepingcomputer.com zufolge wurde Fantom von Unbekannten mittels des Opensource Ransomware-Toolkits namens EDA2 zusammengebastelt. Die Datei, über die sich Fantom verbreitet, trägt den simplen Namen "a.exe". Um den Nutzern eine offizielle Herkunft seitens Microsoft vorzugaukeln, finden sich in den Datei-Eigenschaften die Hinweise "Copyright Microsoft 2016" unter "Copyright" und in der Dateibeschreibung ist von "critical update", also "kritischem Update" die Rede.

WindowsUpdate.exe verschlüsselt persönliche Daten im Hintergrund

Einmal gestartet, erscheint ein Windows-Update-typischer Bildschirm inklusive Forschritts-Prozentanzeige wie bei Windows 10, der beim Anwender den Eindruck erweckt, es werden nun über Windows Update ein Update installiert. In Wirklichkeit werden im Hintergrund die Dateien des Nutzers verschlüsselt. Dafür verantwortlich ist ein Prozess namens "WindowsUpdate.exe". Die Verschlüsselung erfolgt mittels eines AES-128-Schlüssels, der anschließend selbst über einen dualen RSA-Schlüssel verschlüsselt wird. Der private Schlüssel wird an einen Server der Erpresser übertragen, während der öffentliche Schlüssel auf dem angegriffenen Rechner verbleibt.

Abschließend wird eine HTML-Datei generiert, die im Browser geöffnet wird. Über diese HTML-Seite wird der Anwender in holprigem Englisch darüber informiert, dass er Opfer einer Ransomware-Attacke geworden ist und es wird ein "ID-Key" eingeblendet. Der Nutzer soll eine Mail an eine von zwei angegebenen Mail-Adressen unter Angabe seiner "ID-Key"-Nummer schicken und erhält dann weitere Instruktionen darüber, wie er nach Zahlung eines Lösegelds wieder an seine Daten gelangt. Unklar ist, wie viel die Erpresser für die Übermittlung des Entschlüsselungspassworts verlangen.

Dieser Wallpaper "schmückt" nach erfolgreicher Fantom-Attacke den Desktop der Nutzer
Vergrößern Dieser Wallpaper "schmückt" nach erfolgreicher Fantom-Attacke den Desktop der Nutzer

Zusätzlich wird der Bildschirmhintergrund des Desktops durch ein von einem Server heruntergeladenen Wallpaper der Fantom-Macher ersetzt. In diesem Wallpaper werden die Nutzer mit "All Files Encripted!!!" (sic!) erneut über den Angriff informiert. In dem Wallpaper finden sich auch nochmal die beiden Mail-Adressen, über die die Nutzer in Kontakt mit den Erpressern treten sollen.

So schützen Sie sich vor Fantom

Die Anwender können sich am besten vor seiner Attacke schützen, indem sie Antiviren-Software nutzen und diese aktuell halten. Ein Blick auf Virustotal.com zeigt, dass die meisten Antiviren-Hersteller mittlerweile auch Fantom erkennen. Aktuell gibt es noch keine Möglichkeit, die vom Fantom verschlüsselten persönlichen Dateien per Tool selbst zu entschlüsseln.

0 Kommentare zu diesem Artikel
2217442