Hay quien se hace pasar por un navegador, que incluso habla… y, desde hace un tiempo, hay quien se hace pasar por Windows Update.
Estamos hablando de una nueva familia de ransomware, tal Fantom, que se ha extendido en las últimas semanas y que logra engañar al usuario con una estrategia ya utilizada en el pasado.
Fantom, de hecho, enmascara su actividad "fingiendo" Windows Update: una vez contraído, el ransomware muestra al usuario una ventana similar a la siguiente, haciéndoles creer que están instalando actualizaciones.
El resto, entonces, ya se ha visto: ¡documentos encriptados y una solicitud de rescate! Pero entendamos algo más.
¿Cómo actúa Fantom?
Descubierto por un investigador de AVG, Fantom, efectivo solo en Windows, se presenta bajo la apariencia de un programa que se conoce con el nombre de a.exe.
Entre las propiedades del ejecutable, también hay un falso copyright atribuido a Microsoft para engañar mejor al usuario.
Una vez que se ejecuta a.exe, se invoca el ejecutable real para cifrar los archivos (WindowsUpdate.exe) y se muestra la pantalla de actualización falsa. Empiece entonces el proceso de cifrado de archivos. Aparentemente no es posible salir de la pantalla pero CTRL + F4 te permitirá cerrarlo y regrese a Windows.
Esto desafortunadamente no detendrá el proceso de cifrado, que continuará en segundo plano. El cifrado, como el "padre" EDA2, se realiza con una clave AES de 128 bits que luego se carga en el servidor de control.
Los archivos cifrados se modifican con la extensión .fantom.
Al final del proceso, como es habitual, se cambia el fondo del escritorio y se abre un archivo HTML que notifica al usuario de lase produjo el cifrado de archivos, instrucciones para pagar el rescate y la advertencia de que solo tiene una semana antes de que se destruya la clave privada y los archivos se vuelvan irrecuperables.
Desafortunadamente, actualmente no es posible descifrar archivos cifrados por Fantom. El único consejo, siempre válido, es prestar mucha atención a los archivos y adjuntos que ejecuta en su máquina y evitar descargar material de fuentes que no sean seguras.