Vi consigliamo spesso di aggiornare periodicamente il vostro sistema operativo e il vostro software: le vulnerabilità, se non si riparano in tempo, possono essere utilizzate dai malware. Bene, uno strano ransomware chiamato Fantom sfrutta il concetto stesso degli aggiornamenti.
Da un punto di vista tecnico, Fantom è quasi identico a molti ransomware del suo genere. Si basa sul codice ransomware open-source EDA2, sviluppato da Utku Sen come parte di un esperimento non riusciuto. Si tratta, infatti, di uno dei tanti cryptoblocker basati sul codice EDA2, ma nei suoi intenti di mascherare la sua attività, Fantom ha esagerato un po’ troppo.
How an open-source educational project on #ransomware turned into #DedCryptor https://t.co/O2aW1Xnuzg pic.twitter.com/WkwJvOtTXZ
— Kaspersky (@kaspersky) July 8, 2016
Ancora non conosciamo i metodi di diffusione di Fantom. Ma dopo che si infiltra in un computer, inizia la solita routine dei ransomware: crea una chiave di crittografia, la cripta e la archivia in un server command & control per usarla successivamente.
Il Trojan scansiona poi il computer, cercando i tipi di file da criptare (più di 350, inclusi formati di documenti office famosi, audio e immagini). Utilizza la sopracitata chiave per criptarli e aggiungere l’estensione .fantom ai nomi dei file. Ad ogni modo, con tutti questi processi avviati in background, la parte più interessante avviene proprio sotto gli occhi delle vittime.
Però, prima di passare a quella parte, vale la pena dire che questo ransomware eseguibile si finge un aggiornamento critico di Windows Update. E quando il malware inizia a lavorare, esegue non uno, ma ben due programmi: il cryptor in sé e un piccolo programma dal nome innocente: WindowsUpdate.exe.
Quest’ultimo viene utilizzato per simulare una schermata di Windows Update autentica (una schermata blu che vi informa che Windows si sta aggiornando). Mentre Fantom sta criptando in background i file degli utenti, il messaggio sullo schermo mostra il progresso dell'”aggiornamento” (in realtà, della crittografia).
Questo trucco è pensato per distrarre le vittime dall’attività sospetta che sta avvenendo nei propri computer. Il falso Windows Update viene eseguito a schermo completo, bloccando visualmente l’accesso ad altri programmi.
Se gli utenti si insospettiscono, possono ridurre la schermata falsa premendo Ctrl+F4, ma questo non impedirà a Fantom di criptare i file.
Quando la crittografia è terminata, Fantom elimina ogni traccia (elimina i file eseguibili), crea una richiesta di riscatto in formato .html, la copia in ogni cartella e sostituisce lo sfondo del desktop con una notifica. L’aggressore fornisce un indirizzo e-mail in modo che la vittima possa rimanere in contatto, possa discutere i termini di pagamento e ottenere ulteriori istruzioni.
A proposito, fornire informazioni di contatto è tipico degli hacker russi ma c’è un altro segno che indica che i colpevoli hanno origini russe: l’indirizzo mail Yandex.ru e un pessimo inglese. Secondo quanto afferma Bleeping Computer, “fino ad ora non ho mai visto una grammatica e un lessico peggiori in una richiesta di riscatto”.
La cattiva notizia è che a questo punto non c’è modo di decifrare i file danneggiati senza pagare un riscatto (e non vi consigliamo di farlo). Quindi, la cosa migliore è evitare innanzitutto di diventare una vittima. Ecco qualche consiglio:
- Fate regolarmente il backup dei vostri dati e conservate le copie dei backup dei vostri file su un drive esterno senza connessione. Avere una copia del backup vuol dire che potete ripristinare il vostro sistema e i file anche se il PC è infetto. La funzione di backup di Kaspersky Total Security rende il processo automatico.
- State attenti: non aprite allegati sospetti delle mail, state alla larga da siti strani e non cliccate su pubblicità online sospette. Fantom, come ogni altro malware, potrebbe usare uno di questi vettori d’attacco per infiltrarsi nel vostro sistema.
- Utilizzate una forte soluzione di sicurezza: ad esempio, Kaspersky Internet Security rileva Fantom come Trojan-Ransom.MSIL.Tear.wbf o PDM:Trojan.Win32.Generic. E anche se un modello ancora sconosciuto di ransomware bypassasse la protezione dell’antivirus, la funzione System Watcher, che controlla il comportamento sospetto, lo bloccherebbe.