Digital Life
28.08.2016

Erpresser-Trojaner tarnt sich als kritisches Windows Update

Wird die infizierte Datei ausgeführt, zeigt die Ransomware Fantom einen Windows-10-Update-Bildschirm, während im Hintergrund Dateien verschlüsselt werden.

Bleepingcomputer.com berichtet von einem neu entdeckten Erpresser-Trojaner. Die Ransomware heißt Fantom und tarnt sich kritisches Windows Update.

Die von den Sicherheitsforschern untersuchte Datei, mit der Fantom den PC infiziert, hat den wenig originellen Namen a.exe. In den Dateieigenschaften ist bei Dateibeschreibung „critical update“, angegeben, der Produktname „critical update kb01“, sowie „Copyright Microsoft 2016“. Dies soll den Anschein erwecken, als handle es sich bei der exe-Datei um einen von Microsoft veröffentlichten Patch.

Update-Bildschirm

Wird die Datei ausgeführt, startet ein Prozess Namens WindowsUpdate.exe. Es wird ein blauer Update-Bildschirm angezeigt, wie man ihn von Windows 10 kennt. Im Hintergrund werden die Daten des Users verschlüsselt und mit der Endung .fantom versehen. Mit Strg+F4 lässt sich zwar der blaue Bildschirm ausblenden, die Verschlüsselung wird aber weiterhin fortgesetzt.

In jedem Ordner wird die Datei DECRYPT_YOUR_FILES.HTML abgelegt. Darin steht unter anderem: „RESTORE YOUR DATA POSIBLE ONLY BUYING decryption passwords from us”. In weiterem, schlechten Englisch steht geschrieben, dass das Opfer nur eine Woche Zeit hat, um die Täter per Mail zu kontaktieren und die Dateien freizukaufen.

Unbekannte Verbreitungsmethode

Die Verbreitungsmethode von Fantom ist derzeit noch unbekannt. Eine Verteilung der Ransomware über das echte autmatische Windows Update findet aber nicht statt. Die Cyberkriminellen werden vermutlich die üblichen Methoden nutzen. Eine wäre ein Mail, das angeblich von Microsoft oder dem IT-Support kommt und dringend empfiehlt ein wichtiges Update zu installieren.

Eine weitere Methode wäre eine manipulierte Website, die ein Pop-up öffnet, das wie eine Windows-Warnung aussehen soll und zur Installation des Updates auffordert.