EDA2
我们经常建议广大用户定期更新自己的操作系统和软件:除非能及时打上补丁,否则一些漏洞很容易被恶意软件利用。如今一款被称为’Fantom’的勒索软件着实令人好奇,充分有效利用了Windows Update的’创意’。
从技术角度看,Fantom乍一看与大多数勒索软件并无差别。由Utku Sen基于EDA2开放源代码开发,但却是失败实验品的产物。事实上,作为众多基于EDA2编写的cryptoblocker中的一种,在试图模仿其行为的过程中Fantom似乎走得更远了些。
但我们并不清楚Fantom的具体传播方式。一旦成功潜入目标计算机,即自动开启常规勒索软件程序:创建加密密钥并予以加密,然后保存到命令与控制服务器以供将来之用。
之后该木马病毒开始扫描计算机,搜寻加密的文件类型(超过350种,包括流行的办公文档、音频和图片格式)。随后使用上述密钥加密这些文件并将.fantom后缀添加到文件名中。在后台运行完所有进程后,其中最有趣的部分就将呈现在受害人的眼前。
在开始这部分内容前,有必要提下该勒索软件伪装成重要Windows update的可执行文件。在该恶意软件开始工作时,执行的是两个程序而不是一个:cryptor本身以及看似无害的WindowsUpdate.exe程序。
后者被用来模仿真正的Windows Update屏幕(提示用户Windows正在更新的蓝色屏幕)。当Fantom在后台加密用户文件的同时,计算机屏幕则显示正在”更新”中(实际上在加密)。
其目的旨在扰乱受害人注意力,从而无法察觉到计算机上的可疑行为。伪造的Windows Update以全屏模式运行,意在阻止受害人访问其他程序。
一旦用户察觉可疑,按下Ctrl+F4即可将伪造的屏幕最小化,但这无法阻止Fantom加密文件。
加密完成后,Fantom即会清除所有痕迹(删除可执行文件)并创建一个.html格式文件(勒索信),然后复制到每个文件夹并用勒索信代替桌面壁纸。此外,攻击者还会提供电邮地址以便让受害人联系自己,商讨支付期限并做进一步指示。
通过联系信息可以看出黑客是讲俄语的,而其它种种迹象也显示出犯罪分子很可能来自俄罗斯:Yandex.ru电邮地址以及差劲的英语水平。正如Bleeping Computer网站上评论道的:”这是我看到过的语法和拼写最差的勒索信之一。”
坏消息是目前不支付赎金的话没有任何办法解密被锁文件—但我们并不建议支付赎金。因此,最好的办法是第一时间避免成为Fantom的受害人。这里提供些安全小贴士:
提示