Fantom勒索軟件加密受害者文件時偽裝成Windows Update
責編:mhshi |2016-10-19 10:13:20AVG科技的Jakub Kroustek已經發現了勒索軟件的新品種,它假裝是Windows 更新程序,其實在偷偷摸摸加密用戶文件。這款名為魅影的勒索軟件會在用戶電腦當中釋放一個名為a.exe的文件,文件屬性表明它包含Windows重要更新,甚至寫入了微軟2016年版權所有,以降低受害者懷疑。
一旦程序被執行,它會提取并運行名下的另一個應用程序“WindowsUpdate.exe。”這將在屏幕上顯示微軟Windows更新畫面,并且帶有百分比進度條,并提醒用戶在更新完成之前不要關閉電腦。屏幕看起來和真正的Windows更新畫面沒有多少差別。一旦顯示以上畫面,該程序不會讓用戶有切換應用程序的機會。
通過在屏幕上假裝“配置Windows更新”,它實際上在默默地在后臺加密文件。一旦完成,它會生成一個隨機的AES-128密鑰,該密鑰將被上傳到惡意軟件的指揮和控制服務器。最后,它會在受害者電腦上打開一個HTML文件,其中告訴受害者如何支付贖金,以及如何重新解密文件。不幸的是,目前還沒有方法可以破解魅影勒索軟件加密的文件。