Het chantage Trojaanse paard “Fantom” gebruikt een uitgesproken gluiperige manier van vermomming, om onontdekt zijn werk te verrichten. Hij stelt zich voor als “essentiële Windows update”.

-Produktempfehlung: Kaspersky lab-

De gebruiker merkt het pas op als hij moet betalen.

Er wordt toch eigenlijk niemand echt wantrouwend als er een bericht op het beeldscherm opduikt, dat een belangrijke Windows update uitgevoerd moet worden. Je moet toch je besturingssysteem altijd up to date houden, juist om tegen aanvallen via internet beschermd te zijn. Op deze reactie rekenen de criminelen die achter dit nieuwe chantage Trojaans paard “Fantom” zitten.

Bleepingcomputer“ bericht dat het Trojaans paard doet alsof het een essentiële Windows update is, dus je krijgt het gevoel dat die direct uitgevoerd moet worden. Daarvoor laat het de gebruiker een nagemaakt scherm zien, dat over alle andere toepassingen ligt.

Het gaat hier in geen geval om een eenvoudig screenshot, het laat zelfs een lopende voortgang zien waarmee het er geloofwaardig uitziet.”

clip_image002

Zouden achterdochtige gebruikers niettemin kijken en de eigenschappen oproepen, zien ze voor leken geloofwaardige informatie. “Fantom” noemt zich “essentiële update kb01” en als rechthebbende is Microsoft aangegeven.

Ziet de gebruiker het vervalste update-scherm, dan is het al te laat om het Trojaans paard te stoppen. Je kunt het scherm nog wel met ctr-F4 sluiten, maar op de achtergrond gaat de ransomware door om de gegevens naar de AES-128 standaard te versleutelen. Ze krijgen dan de extensie “.fantom”.

Zijn alle gegevens versleuteld, dan maakt het Trojaans paard zich met een waarschuwingsscherm bekend.

Daarin beweren de mensen die erachter zitten, in slecht Engels, dat ze zelfs de voor de bescherming van militaire geheimen gebruikte AES-256-standaard gebruikt hebben.

De slachtoffers hebben maar een kans om hun gegevens weer te herstellen, ze moeten betalen. Daarvoor geven de chanteurs e-mailadressen door, die de gebruiker voor moeten gebruiken om contact op te nemen om verder instructies te krijgen.

clip_image004

Daarna worden de gebruikers erop gewezen dat elke sleutel, waarvoor de chanteurs geen losgeld heeft gekregen, na een week zal worden vernietigd. Om de gebruiker er steeds weer aan te herinneren, vervangt het Trojaanse paard de beeldschermachtergrond door een waarschuwing en de e-mailadressen.

In het artikel van “bleepingcomputer” staat niet hoe het Trojaanse paard verspreid wordt, hij kan eventueel in e-mail bijlagen zitten of loert op geprepareerde websites – mogelijkerwijs zelfs als vermeende Windows-update. “Golem.de” wijst erop dat “Fantom” inmiddels door de bekendste antivirusprogramma’s herkend wordt.

Bron: bleepingcomputer

Vertaling: Petra, mimikama.nl

-Mimikama unterstützen-