Ransomware

Fantom: Gefälschtes Windows Update ist ein Erpressungs-Trojaner

Ein Sicherheitsexperte fand mit „Fantom“ einen neuen Erpressungs-Trojaner. Dieser gibt sich nach einer Infektion als kritisches Windows Update aus.

Fantom-Ransomware: ein Windows-Update-Fake

© Screenshot / twitter.com/JakubKroustek/status/768509157196439558

Fantom-Ransomware: ein Windows-Update-Fake!

Jakub Kroustek des Sicherheitsunternehmens AVG entdeckte einen neuen Erpressungs-Trojaner (Ransomware), den die Verantwortlichen auf den Namen Fantom getauft haben. Nach einer Infektion öffnet Fantom ein neues Fenster, das dem Update-Prozess von Windows nachempfunden ist. Dem Nutzer wird vorgegaukelt, dass der Rechner ein kritisches Windows-Update installiert. In Wirklichkeit jedoch verschlüsselt der Schädling persönliche Dateien des Nutzers.

Sicherheitsforscher der Website bleepingcomputer.com haben sich die Ransomware Fantom näher angeschaut. In den Dateieigenschaften des Trojaners finden sich tatsächlich Angaben, die einen Ursprung bei Microsoft nahelegen sollen. So gibt sich der Trojaner mit der Urheberrechtsangabe „Copyright Microsoft 2016“ als Werk des Windows-Herstellers aus, als Dateibeschreibung hält der Schädling die Angabe „critical update“ (kritisches Update) parat. Dabei handelt es sich natürlich um klare Falschangaben.

Wird der Trojaner Fantom ausgeführt, startet sich ein eingebettetes Programm mit dem Namen „WindowsUpdate.exe“, das den oben zu sehenden Bildschirm anzeigt und die Verschlüsselung beginnen lässt. Das Programm führt sich selbst im Vollbildmodus aus, scheinbar ohne Möglichkeiten zum Abbruch. Zwar helfe die Tastenkombination „Alt“ + „F4“ zum Schließen des Vollbildfensters. Es lässt sich jedoch nicht verhindern, dass sich Fantom an den Nutzerdateien zu schaffen macht.

Gefundene Dateien bekommen die Endung „.fantom“ und werden per AES-128-Algorithmus verschlüsselt. Bei allen diesen Dateien findet sich ein Dokument mit dem Namen „DECRYPT_YOUR_FILES.HTML“, das Hinweise zur Kontaktaufnahme und Bezahlung der Lösegeldsumme an die Verantwortlichen bereithält. Schließlich ändert der Trojaner noch das Hintergrundbild und fordert zur Kontaktaufnahme aus. Um den Forderungen Nachdruck zu verleihen, bleibe dem Nutzer nur eine Woche Zeit.

Wie viel Lösegeld der Nutzer zahlen soll, ist unklar. In der Regel sollten Sie dem jedoch nicht nachkommen. Es ist bisher auch unbekannt, wie sich Fantom verbreitet. Typisch wären Anhänge in E-Mails oder präparierte Webseiten. Behelfen können Sie sich mit aktuellen Antiviren-Scannern sowie regelmäßigen Backups Ihrer Daten.

Mehr zum Thema

Sicherheit und Virenschutz
Sicherheits-Software

Die verschiedenen Business-Antivirus-Suiten unterscheiden sich nicht nur in puncto Sicherheit, sondern insbesondere auch bei den Ausstattungsmodulen.
Q WALKER.COM Virus im Malware Museum
MS-DOS-Nostalgie

Das Internet Archive eröffnet online ein Malware Museum. Zu sehen gibt es Oldschool-Viren der 80er und 90er - ausgestellt in DOS-Emulatoren.
Jigsaw-Ransomware
Fiese Ransomware

Ransomware: Jigsaw verschlüsselt Daten und löscht stündlich Dateien, bis der Nutzer ein Lösegeld zahlt. Doch immerhin gibt es ein Gegenmittel.
eScan
Telefon und Mail

Wir haben den Telefon-Support bei Antivirus-Herstellern untersucht. Die Ergebnisse des Tests lesen Sie hier.
PC Magazin Sicherheitsradar
Aktuelle News zu PC-Sicherheit

Die Security-News der Woche im PC Magazin Sicherheitsradar: Ransomware-verseuchte Werbebanner, Betrug mit Whatsapp Gold und mehr.