Cảnh báo mã độc giả mạo màn hình Windows Update

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
Cảnh báo mã độc giả mạo màn hình Windows Update
Mã độc mang tên Fantom tạo ra màn hình Windows Update giả mạo thông báo đang cài đặt một bản cập nhật quan trọng, song thực tế thì nó đang mã hóa các tập tin của người dùng.

1700016540265.png

Chuyên gia bảo mật Jakub Kroustek vừa phát hiện mã độc tống tiền Fantom (sử dụng mã nguồn mở mã độc EDA2) đánh lừa các nạn nhân bằng cách gieo rắc một chương trình có tên là a.exe.

Nhằm che đậy hoạt động đáng ngờ, thuộc tính của tập tin a.exe ghi rằng nó chứa một bản cập nhật quan trọng của Windows Updates, và thông tin "bản quyền năm 2016 của Microsoft" thậm chí sẽ còn giúp làm giảm độ nghi ngờ của nạn nhân.


1700016567761.png

Thông tin giả mạo bản quyền Microsoft

Sau khi khởi chạy, chương trình sẽ giải nén và chạy một ứng dụng dưới tên WindowsUpdate.exe.

Quá trình này hiển thị chi tiết giống y hệt màn hình đang cấu hình Windows Updates, với thanh đo % hoàn thành và nhắc nhở đừng tắt máy tính. Chính màn hình này đã đánh lừa nạn nhân, khiến họ nghĩ rằng Windows đang cập nhật và không có bất kỳ nghi ngờ nào.


1700016597978.png

Màn hình cập nhật giả mạo

Thực tế, 'Fantom' đang âm thầm mã hóa tập tin giống như các mã độc cùng loại. Khi hoàn tất, mã độc này sẽ tạo ngẫu nhiên ra một khóa AES-128 và tải lên máy chủ chỉ huy. Các tập tin bị mã hóa sẽ có thêm ‘.fantom’ ở phần mở rộng của tập tin.

Mặc dù có thể đóng màn hình giả bằng tổ hợp phím Ctrl+F4, nhưng mã độc Fantom vẫn tiếp tục mã hóa các tập tin ở chế độ nền.


1700016623456.png

Thông báo nhiễm mã độc Fantom

Cho đến thời điểm hiện tại, các chuyên gia bảo mật chưa có giải pháp giải mã các tập tin bị nhiễm mã độc Fantom.


PCWorld
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
BBZ10;n59155 đã viết:
Con Fantom này lây qua đường nào nhỉ?

Hiện chưa có thông tin chi tiết về phương thức phát tán của dòng Fantom này. Tuy nhiên một số chuyên gia cho rằng nó được phát tán qua email spam hoặc các bộ công cụ khai thác.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
fantom windows update
Bên trên