-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

Der Erpresser Trojaner „Fantom“ nutzt eine ausgesprochen hinterlistige Art der Tarnung, um unentdeckt sein Werk zu vollrichten. Er stellt sich als „kritisches Windows-Update“ vor.

-Produktempfehlung: Kaspersky lab-

Der Nutzer erkennt es erst, wenn er zur Kasse gebeten wird.

Es wird doch eigentlich niemand wirklich misstrauisch, wenn auf dem Bildschirm die Nachricht auftaucht, dass ein wichtiges Windows-Update durchgeführt werden soll. Man soll doch sein Betriebssystem immer aktuell halten, gerade um gegen die Angriffe aus dem Internet geschützt zu sein. Auf diese Reaktion setzen die Kriminellen, die hinter dem neuen Erpresser-Trojaner „Fantom“ stecken.

Bleepingcomputer“ berichtet, dass der Schädling vorgibt, eine kritische Windows-Aktualisierung zu sein, also gefühlt eine von denen, die umgehend ausgeführt werden sollten. Dazu zeigt es dem Nutzer ein gefaktes Update-Fenster an, das sich über alle anderen Anwendungen legt.

Es handelt sich hierbei keineswegs um einen schlichten Screenshot, es hat sogar eine laufende Fortschrittsanzeige, damit es wirklich glaubhaft erscheint.

image

Sollten misstrauische Nutzer dennoch nachsehen und die Dateieigenschaften aufrufen, sehen sie für Laien glaubwürdige Informationen. „Fantom“ nennt sich „critical update kb01“ und als Rechteinhaber ist Microsoft angegeben.

Sieht der Nutzer das gefälschte Update-Fenster, ist es schon zu spät den Schädling aufzuhalten. Zwar kann man das Fenster noch mit ctrl-F4 schließen, aber im Hintergrund fährt die Ransomware fort die Daten nach dem AES-128 Standard zu verschlüsseln, sie bekommen dann die Dateiendung „.fantom“.

Sind alle Daten verschlüsselt, gibt sich der Trojaner mit einem Warnfenster zu erkennen.


SPONSORED AD


Darin behaupten die Hintermänner, in einem schlechten Englisch, sogar den für den Schutz von Militärgeheimnissen benutzten AES-256 Standard verwendet zu haben.

Die Opfer hätten nur eine Chance ihre Daten wiederherzustellen, sie müssen bezahlen. Dazu geben die Erpresser E-Mail-Adressen an, über diese sollen die Nutzer Kontakt herstellen können, um weitere Instruktionen zu erhalten.

image

Abschließend werden die User darauf hingewiesen, dass jeder Schlüssel, für den die Erpresser kein Lösegeld erhalten hätten, nach einer Woche automatisch zerstört werde. Um den Anwender ständig daran zu erinnern, ersetzt der Trojaner den Bildschirmhintergrund mit einem Warnhinweis und den E-Mail-Adressen.

In dem Artikel von „Bleepingcomputer“ steht nicht, wie der Trojaner verbreitet wird, eventuell steckt er in E-Mail-Anhängen oder lauert auf präparierten Webseiten – gegebenenfalls sogar als vermeintliches Windows-Update. „Golem.de“ weist darauf hin, dass „Fantom“ inzwischen von den bekanntesten Antivirenprogrammen erkannt werde.

Quelle: bleepingcomputer