A menudo te recomendamos que actualices tu sistema operativo y los programas de forma regular porque el malware puede aprovecharse de las vulnerabilidades, a no ser que se parcheen a tiempo. Pues resulta que un ransomware llamado Fantom se vale de la idea de las actualizaciones.
https://media.kasperskydaily.com/wp-content/uploads/sites/88/2016/09/05221248/fantom-ransomware-featured.jpg
Desde un punto de vista técnico, Fantom es casi idéntico a muchos de los ransomware de su tipo. Se basa en el código abierto de ransomware EDA2, desarrollado por Utku Sen como parte de un experimento fallido. De hecho, es uno de los muchos cifradores basados en EDA2, pero en su intento de camuflar su actividad, Fantom va un poco más lejos.
Cómo un proyecto educativo de código abierto se ha convertido en el #ransomware Ded Cryptor https://t.co/yvJhu8u6WO pic.twitter.com/nHn9aiJrxN
— Kaspersky España (@KasperskyES) July 14, 2016
Todavía no conocemos los métodos de distribución de Fantom, pero después de infiltrarse en un ordenador, empieza con la rutina típica de todo ransomware: crea una clave de cifrado, la cifra y la guarda en un servidor de mando y control para usarla más adelante.
Luego, el troyano analiza el ordenador en busca de los tipos de archivo que puede cifrar (más de 350, incluidos los formatos populares de Office, audio e imágenes). Utiliza la clave mencionada para cifrarlos y añade la extensión .fantom a sus nombres. Aun así, con todos esos procesos funcionando en segundo plano, la parte más interesante sucede ante los ojos de la propia víctima.
Antes de que lleguemos a esa parte, debemos mencionar que este ransomware ejecutable se camufla fingiendo ser una actualización crítica de Windows Update y, cuando se pone a hacer su labor, no ejecuta uno, sino dos programas: el cifrador y un pequeño programa con el inocente nombre de WindowsUpdate.exe.
El último se utiliza para simular una ventana de Windows Update genuina (una pantalla azul que informa de que Windows está siendo actualizado). Mientras Fantom cifra los archivos de los usuarios en segundo plano, el mensaje de la pantalla muestra el progreso de la “actualización” (en realidad el cifrado).
https://media.kasperskydaily.com/wp-content/uploads/sites/88/2016/09/30161453/windows-update-screen.png
Este truco está diseñado para desviar la atención de las víctimas y que no sospechen de la actividad sospechosa de sus ordenadores. El falso Windows Update se ejecuta a pantalla completa y bloquea visualmente el acceso a otros programas.
Si los usuarios sospechan, pueden minimizar la pantalla falsa con el comando Ctrl+F4, pero eso no impedirá que Fantom cifre los archivos.
Una vez finalizado el proceso de cifrado, Fantom elimina su rastro (borra los ejecutables), crea una nota de rescate en .html, la copia en cada carpeta y reemplaza el fondo de pantalla del escritorio con una notificación. El atacante deja una dirección de e-mail para que la víctima pueda comunicarse, discutir los términos del pago y recibir las instrucciones.
Por cierto, dejar información de contacto es típico en los hackers de habla rusa y hay otros indicios que indican los orígenes rusos de estos hackers: la dirección de e-mail Yandex.ru y un inglés pésimo. Como menciona Bleeping Computer, “la gramática y la expresión puede que sean las peores que he visto en una nota de rescate hasta la fecha”.
https://media.kasperskydaily.com/wp-content/uploads/sites/88/2016/09/30161458/ransom-note-screen.png
La mala noticia es que no hay forma de descifrar los archivos afectados sin pagar el rescate (y no recomendamos su pago). Así que, de entrada, lo mejor será que evites convertirte en una víctima. Aquí te dejamos unos consejos:
- Realiza copias de seguridad de tus datos a menudo y guarda dicha copia de tus archivos en una unidad externa sin conexión. Tener una copia de seguridad significa que podrás restaurar tu sistema y los archivos aunque tu PC llegue a infectarse. Por cierto, la característica Copia de seguridad de Kaspersky Total Security automatiza este progreso.
- Ten cuidado: no abras adjuntos sospechosos de e-mails, no entres en páginas inseguras y no hagas clic en anuncios dudosos. Fantom, como cualquier malware, puede usar cualquiera de estos vectores de ataque para infiltrarse en tu sistema.
- Usa una solución de seguridad robusta. Por ejemplo, Kaspersky Internet Security ya detecta Fantom con los nombres de Trojan-Ransom.MSIL.Tear.wbf o PDM:Trojan.Win32.Generic y si una muestra desconocida de ransomware se saltara la protección del antivirus, el componente System Watcher busca acciones sospechosas y las bloquea.