Fantom, el ransomware que se hace pasar por Windows Update

Hay quien se hace pasar por un navegador, que incluso habla… y, desde hace un tiempo, hay quien se hace pasar por Windows Update.

Estamos hablando de una nueva familia de ransomware, tal Fantom, que se ha extendido en las √ļltimas semanas y que logra enga√Īar al usuario con una estrategia ya utilizada en el pasado.

Fantom, de hecho, enmascara su actividad "fingiendo" Windows Update: una vez contra√≠do, el ransomware muestra al usuario una ventana similar a la siguiente, haci√©ndoles creer que est√°n instalando actualizaciones.



Fantom, el ransomware que se hace pasar por Windows Update

El resto, entonces, ya se ha visto: ¬°documentos encriptados y una solicitud de rescate! Pero entendamos algo m√°s.

¬ŅC√≥mo act√ļa Fantom?

Descubierto por un investigador de AVG, Fantom, efectivo solo en Windows, se presenta bajo la apariencia de un programa que se conoce con el nombre de a.exe.

Entre las propiedades del ejecutable, tambi√©n hay un falso copyright atribuido a Microsoft para enga√Īar mejor al usuario.

Una vez que se ejecuta a.exe, se invoca el ejecutable real para cifrar los archivos (WindowsUpdate.exe) y se muestra la pantalla de actualizaci√≥n falsa. Empiece entonces el proceso de cifrado de archivos. Aparentemente no es posible salir de la pantalla pero CTRL + F4 te permitir√° cerrarlo y regrese a Windows.

Esto desafortunadamente no detendr√° el proceso de cifrado, que continuar√° en segundo plano. El cifrado, como el "padre" EDA2, se realiza con una clave AES de 128 bits que luego se carga en el servidor de control.

Los archivos cifrados se modifican con la extensión .fantom.

Al final del proceso, como es habitual, se cambia el fondo del escritorio y se abre un archivo HTML que notifica al usuario de lase produjo el cifrado de archivosinstrucciones para pagar el rescate y la advertencia de que solo tiene una semana antes de que se destruya la clave privada y los archivos se vuelvan irrecuperables.



Fantom, el ransomware que se hace pasar por Windows Update

Desafortunadamente, actualmente no es posible descifrar archivos cifrados por Fantom. El √ļnico consejo, siempre v√°lido, es prestar mucha atenci√≥n a los archivos y adjuntos que ejecuta en su m√°quina y evitar descargar material de fuentes que no sean seguras.



A√Īade un comentario de Fantom, el ransomware que se hace pasar por Windows Update
¡Comentario enviado con éxito! Lo revisaremos en las próximas horas.