شناسایی نرم افزار مخرب جدید/ سوء استفاده از آپدیت ویندوز
نرم افزار مخربی (باج افزار) که با استفاده از شکل مبدل، شبیه آپدیت سیستم عامل ویندوز عمل کرده و به سیستم های رایانه ای کاربران نفوذ می کند، شناسایی شد.
Fantom باج افزاری است که خود را به شکل آپدیت ویندوز نشان می دهد.
اگرچه اغلب به کاربران توصیه می شود که سیستم عامل و نرم افزار خود را به طور منظم بهروزرسانی کنند اما اگر آسیب پذیری ها رفع نشود، می توانند مورد استفاده نرم افزار های مخرب قرار گیرند. «فانتوم » نیز یک نمونه نادر از باج افزارهایی است که از ایده آپدیت ها سوء استفاده می کند.
از نظر فنی، Fantom بسیار شبیه دیگر باج افزارها است. این باج افزار در واقع بر پایه کد اپن سورس EDA۲، که توسط Utku Sen به عنوان بخشی از یک آزمایش شکست خورده توسعه داده شد، ایجاد شده است. این نمونه یکی از چندین کریپتولاکرهای EDA۲ است اما با این فرق که Fantom در فعالیت هایش تلاش می کند خود را به شکل مبدلی درآورد و شناسایی نشود.
این باج افزار با لباس مبدل به عنوان یک بهروزرسان مهم در ویندوز نمایان می شود و هنگامی که نرم افزار مخرب شروع به کار می کند، تنها یک فعالیت عملی نمی شود، بلکه دو برنامه اجرا می شود. به این معنی که هم رمزگذاری انجام می شود و هم برنامه کوچکی با اسم WindowsUpdate.exe را نشان می دهد.
آپدیت جعلی ویندوز
شیوه شیوع این باج افزار تاکنون شناسایی نشده است اما مراکز تحقیقاتی امنیتی اعلام کرده اند که پس از آنکه این باج افزار به یک سیستم نفوذ کند، روال آن همانند دیگر باج افزارها خواهد بود. به این شیوه که یک کلید رمزنگاری ایجاد میکند، آن را رمزنگاری کرده و در سرور فرمان و کنترل به منظور استفاده بعدی، ذخیره می کند.
زمانی که تروجان کامپیوتر را اسکن کرد، به دنبال فایل هایی همچون فایل های اداری، صوتی و عکس می گردد که بتواند آن ها را رمزگذاری کند. پس از این مرحله اسم فایل ها به fantom تغییر می یابد و پس از آن به منظور واقعی بودن این شبیه سازی، صفحه نمایش به روزرسانی ویندوز واقعی نشان داده می شود؛ در حالی که fantom در حال رمزنگاری فایل های کاربر در پس زمینه است.
این ترفند طوری طراحی شده که ذهن قربانیان از فعالیت های مشکوک بر روی کامپیوتر خود منحرف کند. آپدیت جعلی ویندوز در حالت فول اسکرین اجرا می شود که در عین حال دسترسی به دیگر برنامه های دیگر محدود می شود. اگر کاربران در این حین مشکوک شوند آنها می توانند با فشار دادن دکمه Ctrl+F۴ صفحه فول اسکرین را کوچک کنند اما حتی این کار هم کفایت نمی کند و رمزنگاری فایل ها متوقف نمی شود.
هنگامی که رمزنگاری تمام شد، fantom تمام رد خود را از بین می برد (فایل های اجرایی را حذف می کند)، یک یادداشت .html ransom ایجاد می کند، از آن کپی می گیرد و در هر پوشهای قرار میدهد و تصویر دسکتاپ را با یک نوتیفیکیشن جایگزین میکند. مجرم یک آدرس ایمیلی را آماده میکند تا قربانی بتواند آن را به اصطلاح تاچ کند که در آن ایمیل، اطلاعاتی در مورد شرایط پرداخت و دستورالعمل های بیشتر ذکر شده است.
ارائه اطلاعات تماس معمولا برای هکرها به زبان روسی است. به هرحال موارد دیگر هم نشان میدهد که بیشتر جرایم ریشه در روسیه دارد. آدرس ایمیل Yandex.ru است و از نظر انگلیسی ها چنین چیزی بسیار بد است.
چند پیشنهاد
در این نمونه هیچ راهی برای رمزگشایی فایل ها به غیر از پرداخت باج وجود ندارد بنابراین، بهترین روش در وهله اول این است که از تبدیل شدن به یک قربانی جلوگیری شود.
پیشنهاد می شود از اطلاعات خود به طور منظم بک آپ گیری کنید، از فایل های بک آپ گیری شده یک نمونه کپی بگیرید و آن را در یک درایو خارجی که اتصال آن با اینترنت قطع است ذخیره کنید. داشتن بک آپ به این معنی است که شما قادر به بازگرداندن سیستم و فایل های خود می شوید، حتی اگر کامپیوتر شما آلوده شده باشد.
احتیاط کنید، هرگز پیوست ایمیل های مشکوک را باز نکنید. از وب سایت های مشکوک دوری کنید و بر روی تبلیغات آنلاین مشکوک کلیک نکنید، Fantom هم مانند هر بدافزار دیگری ممکن است از هر راهی برای حمله به سیستم شما استفاده کند.
از یک راهکار امنیتی قوی و آنتی ویروس استفاده کنید.