fantom ransomware

Diventa sempre più difficile proteggere le proprie reti aziendali da attacchi che compromettono mesi e a volte anni di lavoro.
Da pochissimo è in circolazione un nuovo killer dei dati informatici: il Fantom Ransomware.

Fantom Ransomware: come funziona

Il cryptovirus, scoperto da un ricercatore di malware di AVG,  si installa nel sistema con un eseguibile chiamato a.exe.
Per “tradire” gli utenti si traveste da Windows Update e grazie a questa mossa risulta praticamente impossibile individuarlo.
Se si consultano le proprietà del file viene riportata la dicitura “critical update” e viene addirittura etichettato come Copyright Microsoft 2016.

fake-windows-update-screen


Una volta lanciato il programma, automaticamente si estrae e viene lanciato in esecuzione un’applicazione chiamata “WindowsUpdate.exe
Utilizza le stesse identiche modalità del vero Windows Update.
Ci viene mostrato un indicatore di percentuale con lo stato di avanzamento dell’aggiornamento e ci mostra un avviso con scritto di non spegnere il pc durante l’operazione.
In questo modo l’utente sarà completamente ignaro di quello che succede in background.
Durante il finto processo di aggiornamento il Fantom Ransomware parte con la criptazione di tutti i file presenti nel sistema.

Quando il processo di criptazione si conclude, il Fantom Ransomware genera una chiave AES-128 che viene caricata sun un server C&C (Command&Control). Il C&C è un centro di controllo che comanda tutte le macchine infettate. Il bootmaster invia le azioni al centro di controllo che a sua volta le riassegna a tutte le macchine colpite dai ransomware.
Da quel momento il Fantom si rivelerà all’utente tramite file DECRYPT_YOUR_FILES.HTML, fornedo l’ID_Key del malcapitato e le classiche istruzioni per effettuare il pagamento e per ottenere il software che ci consente di decriptare tutti i file.

 

html-ransom-note

Ecco la schermata di richiesta di pagamento tramite file DECRYPT_YOUR_FILES.HTML (Fonte Bleeping Computer)

Prenota un’analisi gratuita della tua rete aziendale CONTATTACI

Il file creato da Fantom:

%AppData%\delback.bat
[Executable_Path]\WindowsUpdate.exe
[Executable_Path]\update.bat
%UserProfile%\2d5s8g4ed.jpg

Fantom è solo una delle ultime varianti di ransomware. Ricordiamo anche il cryptolocker e tutte le varianti del Teslacrypt.

Come proteggersi dal Fantom Ransomware?

Un tranello molto efficace, del quale per ora  è molto difficile trovare la soluzione al problema anche per i migliori antivirus in costante aggiornamento.
L’unica arma per combattere questi fenomeni è la prevenzione.
Per questo, grazie alla partnership con Dell Sonicwall leader nel settore di sicurezza informatica, possiamo fornire soluzioni efficaci di data security anche contro minacce non ancora classificate (Zero day) grazie al servizio SonicWALL Capture Advanced Threat Protection Service.
Per saperne di più e per richiedere un controllo e un’analisi gratuita della tua rete aziendale contattaci subito allo 0109950050.

Sull'autore