Zaposlenik tvrtke AVG, Jakub Kroustek, otkrio je novi ransomware koji se predstavlja u obliku lažne nadogradnje računala baziranih na operativnom sustavu Windows.

Sam ransomware dobio je ime Fantom i bazira se na projektu EDA2 ransomwarea otvorenog koda. Kako bi prikrio svoje prisustvo na zaraženom računalo, Fantom se prikazuje u obliku lažne kritične nadogradnje Windowsa, uz njega se izvodi i program WindowsUpdate.exe čija je zadaća na zaraženom računalu prikazati zaslon s informacijom da je u tijeku nadogradnja sustava.

Dok se na ekranu prikazuje lažni postotak napredovanja instalacije fiktivne nadogradnje, u pozadini se provodi enkripcija svih podataka na zaraženom računalu (koji nakon enkripcije dobivaju nastavak .fantom). Čak i ako se spomenuti ekran zatvori, enkripcija cijelog sustava teče i dalje. Generira se nasumični AES-128 ključ koji se šalje na Fantomov komandni i kontrolni poslužitelj.

Zatim se otvara HTML datoteka koja korisnike na zaraženom računalu na poprilično lošem engleskom jeziku obavještava da su svi njegovi podaci na računalu kriptirani te da je potrebno platiti otkupninu kako bi oni opet bili dostupni.

Na kraju se kao pozadina na računalo sprema fotografija koja dodatno upozorava na plaćanje otkupnine te da su svi podaci na računalu kriptirani. Zasad nije moguće dekriptirati podatke na računalima koja su pogođena ovim ransomwareom.

Bug.hr