Ransomware se hace pasar por actualización de Windows
Imagenes proporcionadas aqui solo se dan como ejemplo de una actualizacion critica de Falso Windows Update
Fantom, un nuevo ransomware descubierto recientemente,disfrazado como una actualización legítima de Microsoft Windows. Así, los usuarios de TI son engañados para descargarlo, lo que allana el camino para la violación de los datos ...
El investigador de Malware Jakub Kroustek de la firma de seguridad AVG ha descubierto este malware más sofisticado.
Ransomware, como sabemos, se refiere a que el malware que ayuda a los piratas informáticos bloquean los sistemas y archivos de los usuarios cifrar de manera tal que no se pueden abrir o ser usado.Ransomware también se detiene la ejecución de aplicaciones. Así, la persona afectada tendrá que pagar un rescate para el hacker (s) para conseguir su sistema de nuevo en marcha o para abrir y utilizar los archivos y aplicaciones. Ransomware ataques están aumentando en número en estos días;muchas son las organizaciones que han caído presa de ransomware ataques en los últimos meses.
¿Cómo funciona Fantom ...
Fantom, que es un ransomware basado en el proyecto ransomware EDA2 de código abierto, aparece mostrando una pantalla falsa de Windows Update. Esta pantalla de actualización que lleva en la creencia de que Windows está instalando una nueva actualización crítica. Incluso las propiedades de archivo del ransomware harían que usted cree que, indicando que es de Microsoft y tendrá la descripción del archivo como "actualización crítica '.
Llevado a creer que se trata de una actualización de Windows original, es posible ejecutarlo. Esto hará que el ransomware extracto y ejecutar otro programa embebido llamada WindowsUpdate.exe y luego se mostrará una pantalla falsa de Windows Update. Esta pantalla se superpondrá a todas las ventanas activas y que no va a ser capaz de cambiar a cualquier otra aplicación abierta. Veías en esta pantalla de actualización de un porcentaje que se lleva en la creencia de que la actualización de Windows está teniendo lugar mientras que en la realidad los archivos se están codificadas como los porcentajes de incremento. Aunque la combinación de teclas Ctrl + F4 podría ayudarle a cerrar esta pantalla si lo desea, el cifrado de archivos podría continuar en el fondo.
Fantom, al igual que otros ransomware basada en EDA2, generará una clave aleatoria AES-128 y cifrarlo utilizando RSA. A continuación, se subirá al servidor de comando y control de los desarrolladores de malware. Luego se escanea las unidades locales de los archivos que contienen las extensiones de archivo dirigidos. Estos archivos son encriptados usando el cifrado AES-128, a cada archivo cifrado se añadirá el .fantom extensión. En las carpetas en donde Fantom cifra los archivos, también se creará un DECRYPT_YOUR_FILES.HTML nota de rescate. Cuando se realiza el cifrado, Fantom creará dos archivos por lotes que se ejecutan; estos serán eliminar las instantáneas de volumen y la pantalla falsa actualización que se había conseguido antes.
Entonces, finalmente, viene la nota de rescate llamado DECRYPT_YOUR_FILES.HTML. Esto tendrá la mención que la restauración de sus datos sólo sería posible mediante la compra de contraseñas de ellos. Habrá las instrucciones para enviar por correo electrónico o fantomd12@yandex.ru fantom12@techemail.com de modo que usted podría recibir instrucciones de pago. También está advertido de no tratar de restaurar los archivos que dicen que podría destruir sus datos por completo.
Aunque los piratas informáticos utilizan diferentes tácticas para golpear con ransomware, la estrategia utilizada en el caso de Fantom es un ser inteligente. Los atacantes imitan una pantalla que la mayoría de los usuarios, incluyendo los usuarios de negocios, reconocer e incluso la confianza; que es relativamente fácil de llevar a la gente haciéndoles creer que están recibiendo una actualización de Windows legítimo y así conducirlos a la descarga Fantom. Esto podría ser un puntero a una tendencia bastante peligroso en lo que respecta el malware en general y ransomware en particular.
Fuente: Comodo