Jakub Kroustek, analista di sicurezza in forze ad AVG, ha scoperto un nuovo ransomware progettato per sfruttare un infido meccanismo di camuffamento potenzialmente in grado di avere la meglio sugli utenti meno accorti. Il ransomware si chiama Fantom , e all’apparenza agisce per installare una patch critica per Windows attraverso l’apposito servizio di aggiornamento.
Fantom è in realtà un ransomware basato sul progetto open source EDA2, e utilizza tecniche di crittografia che ne fanno una minaccia molto pericolosa visto che, una volta infettato il sistema, non è possibile decifrare i file compromessi senza l’intervento degli ignoti cyber-criminali che gestiscono la minaccia.
#Fantom #ransomware mimics Windows Update while encrypting your files. https://t.co/ULliqBTti6 pic.twitter.com/F5lz1cQE3v
– Jakub Kroustek (@JakubKroustek) 24 agosto 2016
Fantom si camuffa come un aggiornamento critico per Windows , e una volta avviato dall’utente il ransomware manda in esecuzione il malware propriamente detto (“WindowsUpdate.exe”) mostrando una schermata di installazione non dissimile da quella originale di Windows Update.
Ovviamente, dietro le quinte il ransomware è impegnato e cifrare i file presenti su disco, e il lavoro di ricerca appare piuttosto esaustivo visto che il malware è progettato per prendere di mira file di documenti, musica, video, archivi compressi e molti altri tipi di estensioni .
La cifratura dei file avviene attraverso una chiave asimmetrica AES-128, che viene a sua volta criptata con l’algoritmo RSA prima di essere inviata via Internet ai criminali; a quel punto ogni cartella sul disco fisso include una “nota di riscatto” in formato HTML, con tanto di istruzioni per contattare via email i responsabili e ricevere il necessario per decifrare i file.
Alfonso Maruccia