Der Erpresser Trojaner „Fantom“ nutzt eine ausgesprochen hinterlistige Art der Tarnung, um unentdeckt sein Werk zu vollrichten. Er stellt sich als „kritisches Windows-Update“ vor.
Der Nutzer erkennt es erst, wenn er zur Kasse gebeten wird.
Es wird doch eigentlich niemand wirklich misstrauisch, wenn auf dem Bildschirm die Nachricht auftaucht, dass ein wichtiges Windows-Update durchgeführt werden soll. Man soll doch sein Betriebssystem immer aktuell halten, gerade um gegen die Angriffe aus dem Internet geschützt zu sein. Auf diese Reaktion setzen die Kriminellen, die hinter dem neuen Erpresser-Trojaner „Fantom“ stecken.
„Bleepingcomputer“ berichtet, dass der Schädling vorgibt, eine kritische Windows-Aktualisierung zu sein, also gefühlt eine von denen, die umgehend ausgeführt werden sollten. Dazu zeigt es dem Nutzer ein gefaktes Update-Fenster an, das sich über alle anderen Anwendungen legt.
Es handelt sich hierbei keineswegs um einen schlichten Screenshot, es hat sogar eine laufende Fortschrittsanzeige, damit es wirklich glaubhaft erscheint.
Sollten misstrauische Nutzer dennoch nachsehen und die Dateieigenschaften aufrufen, sehen sie für Laien glaubwürdige Informationen. „Fantom“ nennt sich „critical update kb01“ und als Rechteinhaber ist Microsoft angegeben.
Sieht der Nutzer das gefälschte Update-Fenster, ist es schon zu spät den Schädling aufzuhalten. Zwar kann man das Fenster noch mit ctrl-F4 schließen, aber im Hintergrund fährt die Ransomware fort die Daten nach dem AES-128 Standard zu verschlüsseln, sie bekommen dann die Dateiendung „.fantom“.
Sind alle Daten verschlüsselt, gibt sich der Trojaner mit einem Warnfenster zu erkennen.
Darin behaupten die Hintermänner, in einem schlechten Englisch, sogar den für den Schutz von Militärgeheimnissen benutzten AES-256 Standard verwendet zu haben.
Die Opfer hätten nur eine Chance ihre Daten wiederherzustellen, sie müssen bezahlen. Dazu geben die Erpresser E-Mail-Adressen an, über diese sollen die Nutzer Kontakt herstellen können, um weitere Instruktionen zu erhalten.
Abschließend werden die User darauf hingewiesen, dass jeder Schlüssel, für den die Erpresser kein Lösegeld erhalten hätten, nach einer Woche automatisch zerstört werde. Um den Anwender ständig daran zu erinnern, ersetzt der Trojaner den Bildschirmhintergrund mit einem Warnhinweis und den E-Mail-Adressen.
In dem Artikel von „Bleepingcomputer“ steht nicht, wie der Trojaner verbreitet wird, eventuell steckt er in E-Mail-Anhängen oder lauert auf präparierten Webseiten – gegebenenfalls sogar als vermeintliches Windows-Update. „Golem.de“ weist darauf hin, dass „Fantom“ inzwischen von den bekanntesten Antivirenprogrammen erkannt werde.
Quelle: bleepingcomputer
Unterstütze jetzt Mimikama – Für Wahrheit und Demokratie! Gründlicher Recherchen und das Bekämpfen von Falschinformationen sind heute wichtiger für unsere Demokratie als jemals zuvor. Unsere Inhalte sind frei zugänglich, weil jeder das Recht auf verlässliche Informationen hat. Unterstützen Sie Mimikama
Mehr von Mimikama
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)