Le ransomware Fantom se fait passer pour Windows Update

6 Sep 2016

Nous vous conseillons souvent de mettre à jour votre système d’exploitation et votre logiciel régulièrement : les vulnérabilités, bien que corrigées à temps, peuvent être infectées par un malware. Eh bien, il s’avère qu’un ransomware nommé Fantom profite de l’idée même de ces mises à jour.

fantom-ransomware-featured

D’un point de vue technique, le ransomware Fantom est quasiment identique à ses semblables. Il est basé sur le code de ransomware de l’open source EDA2, qui a été développé par Utku Sen dans le cadre d’une expérience ratée. Il fait partie en réalité des nombreux ransomwares à chiffrement basés sur EDA2, mais dans sa tentative de camoufler son activité, Fantom va un peu plus loin.

Nous ne connaissons pas encore les méthodes de distribution de Fantom. Après s’être infiltré sur un ordinateur, il commence sa routine habituelle de ransomware : il crée une clé de chiffrement, la chiffre, et l’enregistre sur un serveur de commande et contrôle afin de l’utiliser ultérieurement.

Ensuite, le cheval de Troie analyse l’ordinateur, à la recherche de fichiers qu’il pourrait chiffrer (plus de 350, y compris des formats populaires de documents Office, des audio et images). Il utilise la clé en question pour les chiffrer et ajoute l’extension .fantom aux noms des fichiers. En dépit de tous ces procédés déployés en arrière-plan, la partie la plus intéressante se produit sous les yeux de la victime.

Avant d’aborder cette partie, il est important de noter que ce ransomware exécutable se fait passer pour une mise à jour critique de Windows Update. Et lorsque le malware se met au travail, il n’exécute non pas un, mais deux programmes : le chiffrement lui-même et un petit programme d’apparence inoffensive nommé WindowsUpdate.exe.

Ce dernier est utilisé dans le but de contrefaire un véritable écran de Windows Update (un écran bleu vous informant que Windows est en cours d’actualisation). Tandis que Fantom chiffre les fichiers des utilisateurs, le message sur l’écran affiche que la « mise à jour » (en réalité, le chiffrement) progresse.

windows-update-screen

Ce piège est conçu pour distraire l’attention des victimes, de façon à ce qu’elles ne se rendent pas compte qu’il y a une activité suspecte sur leurs ordinateurs. Le faux Windows Update s’exécute en mode plein écran, et bloque visuellement l’accès à d’autres programmes.

Si les utilisateurs commencent à se méfier, ils peuvent réduire le faux écran en appuyant sur Ctrl+F4, mais malheureusement cela n’empêchera pas à Fantom de chiffrer leurs fichiers.

Une fois qu’il a terminé son processus de chiffrement, Fantom efface ses traces (il supprime les exécutables), créer une demande de rançon .html, la copie dans chaque fichier, et remplace le fond d’écran de l’ordinateur par une notification. L’hacker fournit une adresse mail afin que la victime puisse le contacter, discuter des modalités de paiement, et recevoir des instructions supplémentaires.

Le fait de laisser des informations de contact est typique des hackers russes. D’autres signes indiquent que les coupables sont de cette nationalité : l’adresse mail Yandex.ru et leur très mauvais anglais. Comme l’a signalé le site Bleeping Computer « c’est probablement la pire grammaire et la plus mauvaise expression écrite que j’aie jamais vues dans une demande de rançon ».

ransom-note-screen

La mauvaise nouvelle est qu’à ce jour, il n’y a pas de façon de déchiffrer des fichiers chiffrés sans payer la rançon (non recommandée). Par conséquent, la meilleure approche à adopter est celle d’éviter d’en être la victime. Voici quelques conseils :

  • Effectuez régulièrement des copies de sécurité de vos données et fichiers et sauvegardez-les sur un disque dur externe déconnecté. Faire des mises à jour signifie que vous pourrez restaurer votre système et récupérer vos documents et ce, même si votre ordinateur a été infecté. A ce sujet, Kaspersky Total Security dispose de la mise à jour automatique.
  • Soyez vigilant : n’ouvrez pas des pièces jointes suspectes, ne vous rendez pas sur des sites glauques, et ne cliquez pas sur des publicités louches. Fantom, comme n’importe quel autre malware, utilise ces vecteurs d’attaque pour s’infiltrer dans votre système.
  • Utilisez une solution de sécurité efficace. Par exemple, Kaspersky Internet Security détecte déjà Fantom comme étant le ransomware Trojan-Ransom.MSIL.Tear.wbf ou PDM:Trojan.Win32.Generic. Et dans le cas où un échantillon de ransomware encore inconnu arriverait à contourner l’antivirus, le module Surveillance du Système, en charge de contrôler des actions suspectes, sera en mesure de le bloquer.