Ransomware: Trojaner Fantom gaukelt kritisches Windows-Update vor

Ein Windows-Update wiegt die Nutzer in Sicherheit, haben sich die Hersteller des Erpressungstrojaners Fantom wohl gedacht. In diesem Fall ist jedoch besondere Vorsicht geboten.

Artikel veröffentlicht am ,
Die Dateieigenschaften des Erpressungstrojaners a.exe.
Die Dateieigenschaften des Erpressungstrojaners a.exe. (Bild: bleepingcomputer.com)

Der Trick mag leicht zu durchschauen sein, doch für arglose Nutzer könnte er böse Folgen haben: Ein neuer Erpressungstrojaner gibt vor, ein kritisches Sicherheitsupdate von Microsoft zu sein. Wie die Website bleebingcomputer.com unter Berufung auf den Sicherheitsexperten Jakub Kroustek vom Antivirenhersteller AVG berichtet, enthalten die Dateieigenschaften der Ransomware Fantom (a.exe) entsprechende Angaben.

Stellenmarkt
  1. Teamleiter (m/w/d) Informationsmanagement SAP BW & SAP Basis
    Radeberger Gruppe KG, Frankfurt am Main
  2. Bereichs-Informationssicherh- eitsbeauftragte*r (m/w/d) in der Stabstelle Sicherheit der Feuerwehr ... (m/w/d)
    Stadt Köln Berufsfeuerwehr, Amt für Feuerschutz, Rettungsdienst und Bevölkerungsschutz, Köln
Detailsuche

Doch nicht nur das: Wenn die Datei ausgeführt wird, startet demnach ein weiterer Prozess (WindowsUpdate.exe). Dieser gaukele dem Nutzer vor, dass tatsächlich ein Windows-Update ausgeführt werde. Stattdessen verschlüssele der Trojaner im Hintergrund die Dateien des Nutzers. Zwar lasse sich der Update-Bildschirm mit der Tastenkombination Alt + F4 schließen, doch das stoppe die Verschlüsselung nicht.

Verbreitungsweg unklar

Die Ransomware verschlüsselt die Dateien dem Bericht zufolge mit dem Standard AES 128 und ergänzt sie mit der Dateiendung .fantom. In jedem verschlüsselten Verzeichnis findet sich zudem die Hinweisdatei DECRYPT_YOUR_FILES.HTML. In der Datei wird der Nutzer in schlechtem Englisch aufgefordert, per Mail mit den Erpressern Kontakt aufzunehmen und das Lösegeld zu bezahlen. Dem Nutzer soll angeblich nur eine Woche bleiben, um seine Daten wiederherzustellen. Dann werde der Schlüssel vernichtet, schreiben die Kriminellen.

Der Bericht enthält keine Angaben darüber, wie der Trojaner zu den Nutzern gelangt. Unklar scheint zudem, warum die Kriminellen überhaupt diese Form der Tarnung wählen. Erfahrene Anwender dürften kaum durch die gefälschten Dateieigenschaften dazu verleitet werden, die Datei a.exe anzuklicken. Denkbar wäre jedoch, dass die Kriminellen über gefälschte Websites angebliche Windows-Updates anbieten und unerfahrene Nutzer dadurch zur Installation verleiten könnten. Die weit verbreitete Locky-Ransomware war über infizierte E-Mail-Anhänge verschickt worden. Laut Virus Total wird Fantom von den gängigen Anti-Viren-Programmen bereits erkannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Silence S04
Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
Artikel
  1. Microsoft: Das nächste große Update für Windows 10 kommt im November
    Microsoft
    Das nächste große Update für Windows 10 kommt im November

    Die Version 21H2 wurde wohl auch wegen Windows 11 etwas nach hinten verschoben. Der Patch soll nun aber im November für Windows 10 kommen.

  2. Arduino und Python: Bastler nimmt Audiokassette als Speichermedium für Retro-PC
    Arduino und Python
    Bastler nimmt Audiokassette als Speichermedium für Retro-PC

    Die Kassette kann nicht nur Lieder speichern, sondern auch Bitmuster. Ein Bastler baut dafür eine Schnittstelle mit 1,5 KBit/s Datenrate.

  3. Bis Ende 2022: VW-Manager müssen wegen Chipkrise Verbrenner fahren
    Bis Ende 2022
    VW-Manager müssen wegen Chipkrise Verbrenner fahren

    2022 werden VWs Manager den Kurs des Unternehmenschefs Herbert Diess nicht fahren können - Elektroautos und Hybride können als Dienstwagen nicht bestellt werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Gutscheinheft mit Direktabzügen und Zugaben • AOC CQ32G2SE/BK 285,70€ • Corsair Vengeance RGB PRO SL 64-GB-Kit 3600 253,64€ • Nur noch heute: Mehrwertsteuer-Aktion bei MediaMarkt • Seagate SSDs & HDDs günstiger • Alternate (u. a. ASUS ROG Strix Z590-A Gaming WIFI 258€) [Werbung]
    •  /