اخبار و مقالات :: فناوری اطلاعات و عمومی

باج افزار Fantom در قالب بروزرسانی ویندوز در سیستم قربانیان نصب می‌شود

۲۷۵۹ شماره اطلاع نامه : باج افزار Fantom در قالب بروزرسانی ویندوز در سیستم قربانیان نصب می‌شود ۱۳۹۵/۰۶/۰۸ باج افزار Fantom در قالب بروزرسانی ویندوز در سیستم قربانیان نصب می‌شود فناوری اطلاعات و عمومی :: اخبار و مقالات باج افزار Fantom در قالب بروزرسانی ویندوز در سیستم قربانیان نصب می‌شود

باج افزار Fantom در قالب بروزرسانی ویندوز در سیستم قربانیان نصب می‌شود

یکی از محققان امنیتی از موسسه‌ی AVG یک باج افزار را کشف کرده که خود را در قالب یک بروزرسانی ضروری برای ویندوز به کاربران تحمیل می‌کند. این باج افزار Fantom نام دارد.

محقق موسسه‌ی امنیتی AVG یک باج افزار یا Ransomware را با عنوان Fantom کشف کرده که خود را در قالب یک بروزرسانی ضروری برای سیستم عامل ویندوز به کاربران تحمیل می‌کند. قربانیان پس از تایید دریافت این باج‌افزار پنجره‌ای را شبیه به بروزرسانی سیستم خود مشاهده می‌کنند، اما چیزی که در پشت صحنه اتفاق می‌افتد، کد شدن تمام اطلاعاتی است که در حافظه‌ی رایانه‌ی کاربر ذخیره شده است.

فانتوم مبتنی بر پروژه‌ی باج افزار متن باز EDA2 توسعه یافته و متاسفانه نمی‌توان اطلاعات را بدون کمک شخصی که این باج‌افزار را توسعه داده، کدگشایی کرد. هر چند ممکن است کاربران حرفه‌ای و کمی کاربلد بتوانند اینگونه خطرات را در زمان استفاده از رایانه‌ی خود تشخیص دهند، اما کاربران آماتور به راحتی در دام باج‌افزار‌ها و بدافزارهای این چنینی می‌افتند.

همانطور که اشاره کردیم این باج‌افزار با باز شدن یک پنجره‌ی پاپ آپ که خبر از وجود یک بروزرسانی ضروری برای ویندوز می‌دهد، سعی می‌کند تا نظر کاربران را جلب کند. این باج افزار پس از تایید کاربر یک فایل اجرایی امبد شده با نام WindowsUpdate.exe را اجرا می‌کند. پس از اجرای این فایل، پنجره‌ای که کاملا شبیه به بروزرسانی ویندوز است باز شده و عملیات را در پشت صحنه انجام می‌دهد. حتی یک پیغام مبنی بر اینکه نباید رایانه را خاموش کرد، برای کاربر نمایش می‌دهد. کاربر می‌تواند با ترکیب کلید‌های Ctrl+F4 پنجره را ببندد، اما باج افزار در پشت صحنه همچنان به کدگذاری فایل‌ها ادامه می‌دهد.

با توجه به اینکه فانتوم مبتنی بر EDA2 توسعه یافته، از این‌رو این باج افزار با تولید یک کلید با AES-128 و استفاده از روش کدگذاری RSA تمام فایل‌ها را غیر قابل استفاده می‌کند. تمام فایل‌های کد شده با پسوند fantom. نمایش داده خواهند شد. همچنین یک نوت نیز در فولدرهایی که حاوی فایل‌های کد شده هستند، برای کاربر باقی گذاشته می‌شود. کاربرانی که آلوده شده باشند باید ایمیلی را به توسعه دهنده‌ی باج افزار ارسال کرده و دستورات بعدی را دریافت کنند. هنوز مشخص نیست که در صورت آلوده شدن به این باج افزار چه میزان هزینه از قربانیان دریافت می‌شود.

حسین خلیلی صفا - www.zoomit.ir