Il y a ceux qui se font passer pour un navigateur, qui parlent même… et, depuis quelque temps, il y a ceux qui se font passer pour Windows Update.
Nous parlons d'une nouvelle famille de ransomware, Telle Fantom, qui s'est répandu ces dernières semaines et qui parvient à tromper l'utilisateur avec une stratégie déjà utilisée par le passé.
Fantom masque en fait son activité en « faisant semblant » de Windows Update : une fois contracté, le ransomware montre à l'utilisateur une fenêtre similaire à celle ci-dessous, leur faisant croire qu'ils installent des mises à jour.
Le reste a donc déjà été vu : des documents cryptés et une demande de rançon ! Mais comprenons quelque chose de plus.
Comment fonctionne Fantom ?
Découvert par un chercheur d'AVG, Fantom - efficace uniquement sur Windows - se présente sous la forme d'un programme qui porte le nom de a.exe.
Parmi les propriétés de l'exécutable, il y a aussi un faux copyright attribué à Microsoft pour mieux tromper l'utilisateur.
Une fois a.exe exécuté, l'exécutable réel est invoqué pour crypter les fichiers - WindowsUpdate.exe - et le faux écran de mise à jour s'affiche. Commence alors le processus de cryptage des fichiers. Apparemment, il n'est pas possible de quitter l'écran mais CTRL + F4 vous permettra de le fermer et revenez à Windows.
Ceci malheureusement cela n'arrêtera pas le processus de cryptage, qui se poursuivra en arrière-plan. Le cryptage, comme le « parent » EDA2, s'effectue avec une clé AES 128 bits qui est ensuite chargée dans le serveur de contrôle.
Les fichiers cryptés sont modifiés avec l'extension .fantom.
A la fin du processus, comme d'habitude, l'arrière-plan du bureau est modifié et un fichier HTML est ouvert qui informe l'utilisateur de lale chiffrement du fichier s'est produitle instructions pour payer la rançon et l'avertissement que vous n'avez qu'une semaine avant que la clé privée ne soit détruite et que les fichiers deviennent irrécupérables.
Malheureusement, il n'est actuellement pas possible de décrypter les fichiers cryptés par Fantom. Le seul conseil, toujours valable, est de faire très attention aux fichiers et pièces jointes que vous exécutez sur votre machine et d'éviter de télécharger du matériel à partir de sources incertaines.