{"id":8886,"date":"2016-09-02T09:52:42","date_gmt":"2016-09-02T09:52:42","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=8886"},"modified":"2019-11-22T11:17:56","modified_gmt":"2019-11-22T09:17:56","slug":"fantom-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/fantom-ransomware\/8886\/","title":{"rendered":"Il ransomware Fantom finge di essere Windows Update"},"content":{"rendered":"<p>Vi consigliamo spesso di aggiornare periodicamente il vostro sistema operativo e il vostro software: le vulnerabilit\u00e0, se non si riparano in tempo, possono essere utilizzate dai malware. Bene, uno strano ransomware chiamato Fantom sfrutta il concetto stesso degli aggiornamenti.<\/p>\n<p>Da un punto di vista tecnico, <a href=\"http:\/\/www.bleepingcomputer.com\/news\/security\/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update\/\" target=\"_blank\" rel=\"noopener nofollow\">Fantom<\/a> \u00e8 quasi identico a molti ransomware del suo genere. Si basa sul codice ransomware open-source EDA2, sviluppato da Utku Sen come parte di un <a href=\"https:\/\/www.kaspersky.it\/blog\/ded-cryptor-ransomware\/8566\/\" target=\"_blank\" rel=\"noopener\">esperimento non riusciuto<\/a>. Si tratta, infatti, di uno dei tanti cryptoblocker basati sul codice EDA2, ma nei suoi intenti di mascherare la sua attivit\u00e0, Fantom ha esagerato un po\u2019 troppo.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">How an open-source educational project on <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> turned into <a href=\"https:\/\/twitter.com\/hashtag\/DedCryptor?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#DedCryptor<\/a> <a href=\"https:\/\/t.co\/O2aW1Xnuzg\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/O2aW1Xnuzg<\/a> <a href=\"https:\/\/t.co\/WkwJvOtTXZ\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/WkwJvOtTXZ<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/751424392266129408?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">July 8, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Ancora non conosciamo i metodi di diffusione di Fantom. Ma dopo che si infiltra in un computer, inizia la solita routine dei ransomware: crea una chiave di crittografia, la cripta e la archivia in un server command &amp; control per usarla successivamente.<\/p>\n<p>Il Trojan scansiona poi il computer, cercando i tipi di file da criptare (<a href=\"http:\/\/www.bleepingcomputer.com\/news\/security\/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update\/\" target=\"_blank\" rel=\"noopener nofollow\">pi\u00f9 di 350<\/a>, inclusi formati di documenti office famosi, audio e immagini). Utilizza la sopracitata chiave per criptarli e aggiungere l\u2019estensione .fantom ai nomi dei file. Ad ogni modo, con tutti questi processi avviati in background, la parte pi\u00f9 interessante avviene proprio sotto gli occhi delle vittime.<\/p>\n<p>Per\u00f2, prima di passare a quella parte, vale la pena dire che questo ransomware eseguibile si finge un aggiornamento critico di Windows Update. E quando il malware inizia a lavorare, esegue non uno, ma ben due programmi: il cryptor in s\u00e9 e un piccolo programma dal nome innocente: WindowsUpdate.exe.<\/p>\n<p>Quest\u2019ultimo viene utilizzato per simulare una schermata di Windows Update autentica (una schermata blu che vi informa che Windows si sta aggiornando). Mentre Fantom sta criptando in background i file degli utenti, il messaggio sullo schermo mostra il progresso dell'\u201daggiornamento\u201d (in realt\u00e0, della crittografia).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-8889\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/09\/05234404\/windows-update-screen.png\" alt=\"windows-update-screen\" width=\"1191\" height=\"674\"><\/p>\n<p>Questo trucco \u00e8 pensato per distrarre le vittime dall\u2019attivit\u00e0 sospetta che sta avvenendo nei propri computer. Il falso Windows Update viene eseguito a schermo completo, bloccando visualmente l\u2019accesso ad altri programmi.<\/p>\n<p>Se gli utenti si insospettiscono, possono ridurre la schermata falsa premendo Ctrl+F4, ma questo non impedir\u00e0 a Fantom di criptare i file.<\/p>\n<p>Quando la crittografia \u00e8 terminata, Fantom elimina ogni traccia (elimina i file eseguibili), crea una richiesta di riscatto in formato .html, la copia in ogni cartella e sostituisce lo sfondo del desktop con una notifica. L\u2019aggressore fornisce un indirizzo e-mail in modo che la vittima possa rimanere in contatto, possa discutere i termini di pagamento e ottenere ulteriori istruzioni.<\/p>\n<p>A proposito, fornire informazioni di contatto \u00e8 tipico degli hacker russi ma c\u2019\u00e8 un altro segno che indica che i colpevoli hanno origini russe: l\u2019indirizzo mail Yandex.ru e un pessimo inglese. Secondo quanto afferma Bleeping Computer, \u201cfino ad ora non ho mai visto una grammatica e un lessico peggiori in una richiesta di riscatto\u201d.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-8890\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/09\/05234402\/ransom-note-screen.png\" alt=\"ransom-note-screen\" width=\"1015\" height=\"495\"><\/p>\n<p>La cattiva notizia \u00e8 che a questo punto non c\u2019\u00e8 modo di decifrare i file danneggiati senza pagare un riscatto (e <a href=\"https:\/\/www.kaspersky.it\/blog\/why-you-dont-pay-ransomware\/8264\/\" target=\"_blank\" rel=\"noopener\">non vi consigliamo di farlo<\/a>). Quindi, la cosa migliore \u00e8 evitare innanzitutto di diventare una vittima. Ecco qualche consiglio:<\/p>\n<ul>\n<li>Fate regolarmente il backup dei vostri dati e conservate le copie dei backup dei vostri file su un drive esterno senza connessione. Avere una copia del backup vuol dire che potete ripristinare il vostro sistema e i file anche se il PC \u00e8 infetto. La funzione di backup di <a href=\"https:\/\/store.kaspersky.it\/qte_mvt.html?R=KTSMDAI11ABO&amp;typnews=it_storedirect_pro_ona_smm__onl_b2c_kasperskydaily_lnk____ktsmd_2016__&amp;mvtv=6\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Total Security<\/a> rende il processo automatico.<\/li>\n<li>State attenti: non aprite allegati sospetti delle mail, state alla larga da siti strani e non cliccate su pubblicit\u00e0 online sospette. Fantom, come ogni altro malware, potrebbe usare uno di questi vettori d\u2019attacco per infiltrarsi nel vostro sistema.<\/li>\n<li>Utilizzate una forte soluzione di sicurezza: ad esempio, <a href=\"https:\/\/store.kaspersky.it\/qte_mvt.html?R=KIS2016AI11ABO&amp;typnews=it_storedirect_pro_ona_smm__onl_b2c_kasperskydaily_lnk____kis_2016__&amp;mvtv=6\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security<\/a> rileva Fantom come Trojan-Ransom.MSIL.Tear.wbf o PDM:Trojan.Win32.Generic. E anche se un modello ancora sconosciuto di ransomware bypassasse la protezione dell\u2019antivirus, la funzione System Watcher, che controlla il comportamento sospetto, lo bloccherebbe.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Il ransomware Fantom fa visualizzare una schermata falsa di Windows Update mentre cripta i vostri file.<\/p>\n","protected":false},"author":2194,"featured_media":8887,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[2028,2095,2177,638,635,1888,23],"class_list":{"0":"post-8886","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-cryptor","10":"tag-eda2","11":"tag-fantom","12":"tag-minacce","13":"tag-ransomware","14":"tag-trojans","15":"tag-windows"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fantom-ransomware\/8886\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fantom-ransomware\/7599\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fantom-ransomware\/7622\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fantom-ransomware\/7615\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fantom-ransomware\/9024\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fantom-ransomware\/12939\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fantom-ransomware\/2400\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fantom-ransomware\/12891\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fantom-ransomware\/6045\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fantom-ransomware\/6524\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/fantom-ransomware\/5335\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fantom-ransomware\/8578\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/fantom-ransomware\/12483\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fantom-ransomware\/12939\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fantom-ransomware\/12891\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fantom-ransomware\/12891\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/cryptor\/","name":"cryptor"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/8886","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2194"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=8886"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/8886\/revisions"}],"predecessor-version":[{"id":18815,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/8886\/revisions\/18815"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/8887"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=8886"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=8886"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=8886"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}