Theo trang Bleepingcomputer, chuyên gia bảo mật Jakub Kroustek tại hãng AVG Technologies vừa phát hiện mã độc tống tiền Fantom (sử dụng mã nguồn mở mã độc EDA2) đánh lừa các nạn nhân bằng cách gieo rắc một chương trình có tên là a.exe.
Mã độc Fantom. |
Nhằm che đậy hoạt động đáng ngờ, thuộc tính của tập tin a.exe ghi rằng nó chứa một bản cập nhật quan trọng của Windows Updates, và thông tin "bản quyền năm 2016 của Microsoft" thậm chí sẽ còn giúp làm giảm độ nghi ngờ của nạn nhân.
Thông tin giả mạo bản quyền Microsoft. |
Sau khi khởi chạy, chương trình sẽ giải nén và chạy một ứng dụng dưới tên WindowsUpdate.exe.
Quá trình này hiển thị chi tiết giống y hệt màn hình đang cấu hình Windows Updates, với thanh đo % hoàn thành và nhắc nhở đừng tắt máy tính. Chính màn hình này đã đánh lừa nạn nhân, khiến họ nghĩ rằng Windows đang cập nhật và không có bất kỳ nghi ngờ nào.
Màn hình cập nhật giả mạo. |
Thực tế, 'Fantom' đang âm thầm mã hóa tập tin giống như các mã độc cùng loại. Khi hoàn tất, mã độc này sẽ tạo ngẫu nhiên ra một khóa AES-128 và tải lên máy chủ chỉ huy. Các tập tin bị mã hóa sẽ có thêm ‘.fantom’ ở phần mở rộng của tập tin.
Mặc dù có thể đóng màn hình giả bằng tổ hợp phím Ctrl+F4, nhưng mã độc Fantom vẫn tiếp tục mã hóa các tập tin ở chế độ nền.
Cho đến thời điểm hiện tại, các chuyên gia bảo mật chưa có giải pháp giải mã các tập tin bị nhiễm mã độc Fantom.
Thông báo nhiễm mã độc Fantom. |
Do đó, quý độc giả hãy cẩn thận khi mở hoặc chạm vào các thông tin không đảm bảo an toàn trên Internet nhằm tránh bị lây nhiễm những mã độc tương tự.
Theo PC World VN