{"id":6045,"date":"2016-09-06T08:59:08","date_gmt":"2016-09-06T08:59:08","guid":{"rendered":"https:\/\/kasperskydaily.com\/france\/?p=6045"},"modified":"2020-02-26T15:55:09","modified_gmt":"2020-02-26T15:55:09","slug":"fantom-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/fantom-ransomware\/6045\/","title":{"rendered":"Le ransomware Fantom se fait passer pour Windows Update"},"content":{"rendered":"<p>Nous vous conseillons souvent de mettre \u00e0 jour votre syst\u00e8me d\u2019exploitation et votre logiciel r\u00e9guli\u00e8rement : les vuln\u00e9rabilit\u00e9s, bien que corrig\u00e9es \u00e0 temps, peuvent \u00eatre infect\u00e9es par un malware. Eh bien, il s\u2019av\u00e8re qu\u2019un ransomware nomm\u00e9 Fantom profite de l\u2019id\u00e9e m\u00eame de ces mises \u00e0 jour.<\/p>\n<p>D\u2019un point de vue technique, le ransomware <a href=\"http:\/\/www.bleepingcomputer.com\/news\/security\/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update\/\" target=\"_blank\" rel=\"noopener nofollow\">Fantom<\/a> est quasiment identique \u00e0 ses semblables. Il est bas\u00e9 sur le code de ransomware de l\u2019open source EDA2, qui a \u00e9t\u00e9 d\u00e9velopp\u00e9 par Utku Sen dans le cadre d\u2019une <a href=\"https:\/\/www.kaspersky.fr\/blog\/ded-cryptor-ransomware\/5797\/\" target=\"_blank\" rel=\"noopener\">exp\u00e9rience rat\u00e9e<\/a>. Il fait partie en r\u00e9alit\u00e9 des nombreux ransomwares \u00e0 chiffrement bas\u00e9s sur EDA2, mais dans sa tentative de camoufler son activit\u00e9, Fantom va un peu plus loin.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">How an open-source educational project on <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> turned into <a href=\"https:\/\/twitter.com\/hashtag\/DedCryptor?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#DedCryptor<\/a> <a href=\"https:\/\/t.co\/O2aW1Xnuzg\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/O2aW1Xnuzg<\/a> <a href=\"https:\/\/t.co\/WkwJvOtTXZ\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/WkwJvOtTXZ<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/751424392266129408?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">July 8, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Nous ne connaissons pas encore les m\u00e9thodes de distribution de Fantom. Apr\u00e8s s\u2019\u00eatre infiltr\u00e9 sur un ordinateur, il commence sa routine habituelle de ransomware\u00a0: il cr\u00e9e une cl\u00e9 de chiffrement, la chiffre, et l\u2019enregistre sur un serveur de commande et contr\u00f4le afin de l\u2019utiliser ult\u00e9rieurement.<\/p>\n<p>Ensuite, le cheval de Troie analyse l\u2019ordinateur, \u00e0 la recherche de fichiers qu\u2019il pourrait chiffrer (<a href=\"http:\/\/www.bleepingcomputer.com\/news\/security\/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update\/\" target=\"_blank\" rel=\"noopener nofollow\">plus de 350<\/a>, y compris des formats populaires de documents Office, des audio et images). Il utilise la cl\u00e9 en question pour les chiffrer et ajoute l\u2019extension .fantom aux noms des fichiers. En d\u00e9pit de tous ces proc\u00e9d\u00e9s d\u00e9ploy\u00e9s en arri\u00e8re-plan, la partie la plus int\u00e9ressante se produit sous les yeux de la victime.<\/p>\n<p>Avant d\u2019aborder cette partie, il est important de noter que ce ransomware ex\u00e9cutable se fait passer pour une mise \u00e0 jour critique de Windows Update. Et lorsque le malware se met au travail, il n\u2019ex\u00e9cute non pas un, mais deux programmes\u00a0: le chiffrement lui-m\u00eame et un petit programme d\u2019apparence inoffensive nomm\u00e9 WindowsUpdate.exe.<\/p>\n<p>Ce dernier est utilis\u00e9 dans le but de contrefaire un v\u00e9ritable \u00e9cran de Windows Update (un \u00e9cran bleu vous informant que Windows est en cours d\u2019actualisation). Tandis que Fantom chiffre les fichiers des utilisateurs, le message sur l\u2019\u00e9cran affiche que la \u00ab\u00a0mise \u00e0 jour\u00a0\u00bb (en r\u00e9alit\u00e9, le chiffrement) progresse.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-6047\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2016\/09\/06094448\/windows-update-screen.png\" alt=\"windows-update-screen\" width=\"1191\" height=\"674\"><\/p>\n<p>Ce pi\u00e8ge est con\u00e7u pour distraire l\u2019attention des victimes, de fa\u00e7on \u00e0 ce qu\u2019elles ne se rendent pas compte qu\u2019il y a une activit\u00e9 suspecte sur leurs ordinateurs. Le faux Windows Update s\u2019ex\u00e9cute en mode plein \u00e9cran, et bloque visuellement l\u2019acc\u00e8s \u00e0 d\u2019autres programmes.<\/p>\n<p>Si les utilisateurs commencent \u00e0 se m\u00e9fier, ils peuvent r\u00e9duire le faux \u00e9cran en appuyant sur Ctrl+F4, mais malheureusement cela n\u2019emp\u00eachera pas \u00e0 Fantom de chiffrer leurs fichiers.<\/p>\n<p>Une fois qu\u2019il a termin\u00e9 son processus de chiffrement, Fantom efface ses traces (il supprime les ex\u00e9cutables), cr\u00e9er une demande de ran\u00e7on .html, la copie dans chaque fichier, et remplace le fond d\u2019\u00e9cran de l\u2019ordinateur par une notification. L\u2019hacker fournit une adresse mail afin que la victime puisse le contacter, discuter des modalit\u00e9s de paiement, et recevoir des instructions suppl\u00e9mentaires.<\/p>\n<p>Le fait de laisser des informations de contact est typique des hackers russes. D\u2019autres signes indiquent que les coupables sont de cette nationalit\u00e9\u00a0: l\u2019adresse mail Yandex.ru et leur tr\u00e8s mauvais anglais. Comme l\u2019a signal\u00e9 le site Bleeping Computer \u00ab\u00a0c\u2019est probablement la pire grammaire et la plus mauvaise expression \u00e9crite que j\u2019aie jamais vues dans une demande de ran\u00e7on\u00a0\u00bb.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-6048\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2016\/09\/06094447\/ransom-note-screen.png\" alt=\"ransom-note-screen\" width=\"1015\" height=\"495\"><\/p>\n<p>La mauvaise nouvelle est qu\u2019\u00e0 ce jour, il n\u2019y a pas de fa\u00e7on de d\u00e9chiffrer des fichiers chiffr\u00e9s sans payer la ran\u00e7on (<a href=\"https:\/\/www.kaspersky.fr\/blog\/why-you-dont-pay-ransomware\/5707\/\" target=\"_blank\" rel=\"noopener\">non recommand\u00e9e<\/a>). Par cons\u00e9quent, la meilleure approche \u00e0 adopter est celle d\u2019\u00e9viter d\u2019en \u00eatre la victime. Voici quelques conseils\u00a0:<\/p>\n<ul>\n<li>Effectuez r\u00e9guli\u00e8rement des copies de s\u00e9curit\u00e9 de vos donn\u00e9es et fichiers et sauvegardez-les sur un disque dur externe d\u00e9connect\u00e9. Faire des mises \u00e0 jour signifie que vous pourrez restaurer votre syst\u00e8me et r\u00e9cup\u00e9rer vos documents et ce, m\u00eame si votre ordinateur a \u00e9t\u00e9 infect\u00e9. A ce sujet, <a href=\"https:\/\/www.kaspersky.fr\/total-security-multi-device?redef=1&amp;reseller=fr_kdaily_pro_ona_smm__onl_b2c_kasperskydaily_lnk_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Total Security<\/a> dispose de la mise \u00e0 jour automatique.<\/li>\n<li>Soyez vigilant\u00a0: n\u2019ouvrez pas des pi\u00e8ces jointes suspectes, ne vous rendez pas sur des sites glauques, et ne cliquez pas sur des publicit\u00e9s louches. Fantom, comme n\u2019importe quel autre malware, utilise ces vecteurs d\u2019attaque pour s\u2019infiltrer dans votre syst\u00e8me.<\/li>\n<li>Utilisez une solution de s\u00e9curit\u00e9 efficace. Par exemple, <a href=\"https:\/\/www.kaspersky.fr\/internet-security?redef=1&amp;reseller=fr_kdaily_pro_ona_smm__onl_b2c_kasperskydaily_lnk_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Internet Security<\/a> d\u00e9tecte d\u00e9j\u00e0 Fantom comme \u00e9tant le ransomware Trojan-Ransom.MSIL.Tear.wbf ou PDM:Trojan.Win32.Generic. Et dans le cas o\u00f9 un \u00e9chantillon de ransomware encore inconnu arriverait \u00e0 contourner l\u2019antivirus, le module Surveillance du Syst\u00e8me, en charge de contr\u00f4ler des actions suspectes, sera en mesure de le bloquer.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Fantom affiche un faux \u00e9cran de Windows Update dans le but de chiffrer vos fichiers.<\/p>\n","protected":false},"author":2194,"featured_media":6046,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,686],"tags":[522,1697,1699,1855,204,353,23],"class_list":{"0":"post-6045","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-threats","9":"tag-chevaux-de-troie","10":"tag-chiffrements","11":"tag-eda2","12":"tag-fantom","13":"tag-menaces","14":"tag-ransomware","15":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fantom-ransomware\/6045\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fantom-ransomware\/7599\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fantom-ransomware\/7622\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fantom-ransomware\/7615\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fantom-ransomware\/9024\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fantom-ransomware\/8886\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fantom-ransomware\/12939\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fantom-ransomware\/2400\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fantom-ransomware\/12891\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fantom-ransomware\/6524\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/fantom-ransomware\/5335\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fantom-ransomware\/8578\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/fantom-ransomware\/12483\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fantom-ransomware\/12939\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fantom-ransomware\/12891\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fantom-ransomware\/12891\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/chevaux-de-troie\/","name":"chevaux de troie"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6045","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2194"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=6045"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6045\/revisions"}],"predecessor-version":[{"id":14364,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6045\/revisions\/14364"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/6046"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=6045"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=6045"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=6045"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}