Приложение-вымогатель прикидывается обновлением Windows

Очередная сводка пришла с фронтов сражений с приложениями-вымогателями, на которые нынешний год оказался чрезвычайно плодовит. Новая программа использует экран обновления Windows и якобы устанавливает критические обновления системы, на самом деле зашифровывая файлы пользователей.

Открытие сделал Якоб Крустек из компании AVG Technologies. Вымогатель называется Fantom, он устанавливается через исполняемый файл a.exe. Для сокрытия вредоносной активности в свойствах файла указано, что он содержит критически важное обновление системы Windows. Для большей достоверности используется значок авторского права Microsoft с датой 2016.

Когда файл запущен, он извлекает и запускает приложение WindowsUpdate.exe. Оно отображает экран, напоминающий экран обновления Windows, с привычным указанием процентов до завершения процесса и напоминанием не выключать компьютер. При этом программа на позволяет открывать другие приложения.

Закончив с шифрованием файлов, вымогатель генерирует ключ AES-128, который отправляется на сервер злоумышленников. Программа шифрует файлы множества форматов, добавляя к ним расширение .fantom. Далее запускается файл HTML с запиской с требованием выкупа на английском языке. На данный момент инструмента для бесплатного дешифрования файлов для Fantom не существует.