Windows güncellemesi gibi gözüken Fantom fidye yazılımı

Biz sık sık düzenli bir şekilde işletim sisteminizi ve yazılımlarınızı güncellemenizi öneriyoruz: Açıklar zamanında kapatılmazlarsa, zararlı yazılımlar tarafından aşılırlar. Fantom adındaki garip bir fidye yazılımı güncellemeleri istismar ediyor. Teknik açıdan,

Biz sık sık düzenli bir şekilde işletim sisteminizi ve yazılımlarınızı güncellemenizi öneriyoruz: Açıklar zamanında kapatılmazlarsa, zararlı yazılımlar tarafından aşılırlar. Fantom adındaki garip bir fidye yazılımı güncellemeleri istismar ediyor.

Teknik açıdan, Fantom neredeyse birçok fidye yazılımı ile aynı. Utku Şen tarafından geliştirilmiş başarısız bir deney olan EDA2 açık kaynak fidye yazılımı kodlarına dayanıyor. Aslında Fantom, EDA2 tabanlı birçok şifreleyiciden biri, ama işlevlerini gizlemesi onu daha özel kılıyor.

Fantom’un yöntemleri ve bulaşma biçimleri hakkında bir bilgimiz yok henüz. Ama bilgisayara bulaştıktan sonra, sıradan fidye yazılımı rutinlerini başlatıyor: şifreleme anahtarı oluşturuyor, şifreliyor, ve yönetim – kontrol sunucularında barındırarak daha sonra kullanılmasını bekliyor.

Daha sonra Trojan bilgisayarı tarar, ses – görsel – video – office formatları dahil 350’den fazla popüler formattaki dosyaları bulur ve şifreler. Bahsi geçen anahtarı kullanır ve dosya isimlerine .fantom ekler. Ama en garip ve ilgi çekici kısmı şu, bütün bu işlemleri kullanıcının gözleri önünde yapar.

O kısıma geçmeden önce şunu belirtmekte fayda var, bu fidye yazılımı kendini önemli bir Windows güncellemesi gibi gösterir. Ve program başlatıldığı zaman, sadece bir program çalıştırmaz- iki tane çalıştırır: şifreleyicinin kendisi ve Windows Güncellemesi gibi gözüken ufak ve masum bir program daha.

İkincisi Windows güncelleme ekranı gibi görünüyor ve davranıyordu (Windows’un güncellendiğini belirten mavi ekran). Fantom kullanıcıların verilerini arkada şifrelerken, ekranda “güncelleneme” oluyordu (bu güncelleme aslında şifrelemenin durumunu belirtiyor).

windows-update-screen

Bu hile kullanıcının dikkatini dağıtmak ve şifreleme işlemi sırasında şüphelenmemesini sağlamak için kullanılııyor. Sahte yükleme ekranı tüm ekranı kapladığı için, diğer programlara görsel olarak erişimi de engelliyor.

Eğer kullanıcı bir şeylerden şüphelenirse, CTRL ve F4 tuşlarına basarak sahte Windows ekranını küçültebilir, ama bu Fantom’un şifrelemesini durdurmaz.

Şifreleme bittikten sonra, Fantom geride bıraktığı izleri siler (çalıştırılabilir dosyalarını siliyor), HTML olarak fidye notu yazar, her dosyaya bu konu kopyalar ve masaüstü arka planını fidye bildirimi ile değiştirir. Saldıran kişi kurbana bir mail adresi verir, böylece irtibat kurabilirler ve ödeme yolları hakkında konuşabilirler.

İrtibat için mail bırakmak Rusça konuşan hackerlar için normal, bu arada, Rus olduğunu düşünmemizi sağlayan diğer işaretler şunlar: Yandex.ru mail adresi ve çok kötü bir İngilizce. BleepingComputer’a göre; “Gramer ve kullanılan kelimelere bakarsak, şimdiye kadar gördüğümüz en kötü fidye notu.”

ransom-note-screen

Kötü haber de şu, şifrelenmiş dosyaları açmanın şimdilik bir yolu yok – ve biz de, her zamanki gibi, fidye ödemenizi önermiyoruz. Bu yüzden, en iyi yaklaşım ilk olarak bunun kurbanı olmamak. İşte birkaç ipucu:

Verilerinizi düzenli olarak harici bir diske yedekleyin. Harici bir diskte yedeklerinizin bulunması şu anlama geliyor, bilgisayarınıza bu zararlı yazılım bulaşsa bile dosyalarınızı kurtarabilirsiniz. Kaspersky Total Security bunu otomatik olarak kendisi yapıyor.

Dikkatli olun: Şüphelendiğiniz e-mail eklerini açmayın, bilinmeyen internet sitelerinden uzak durun ve şüphe çeken online reklamlara tıklamayın. Fantom, her fidye yazılımı olduğu gibi, sisteminize bulaşmak için her şeyi deneyebilir.

Güçlü bir güvenlik çözümü kullanın: Mesela, Kaspersky Internet Security şimdiden Fantom fidye virüsünü Trojan-Ransom.MSIL.Tear.wbf ya da PDM:Trojan.Win32.Generic olarak tanıyor. Hatta henüz bilinmeyen bir fidye yazılımı anti virüs motorunu aşabilirse, System Watcher özelliği şüpheli hareketi tespit ederek engelleyecektir.

İpuçları