Una delle mode virali più seguite nell’ambito della pirateria informatica recente è quella che vede il frequente ricorso ai malware di tipo ransomware che prendono in ostaggio i dati del computer dietro la richiesta di un riscatto in criptomoneta bitcoin. L’ultima attacco a rientrare nella fattispecie in questione è il pericolosissimo “Fantom“.
Fantom, scoperto da Jakub Kroustek, analista di malware presso la software house ceca AVG, è un virus alquanto originale ed in linea con i tempi. Siamo, infatti, proprio nel periodo iniziale di diffusione dell’Anniversary Update di Windows 10 (distribuito il 2 Agosto) e, per questo motivo, non è così inusuale che il nostro computer ci chieda qualche click per portare a termine un aggiornamento di sistema.
Ecco, Fantom fa qualcosa di simile e, mascheratosi dietro una schermata di aggiornamento in stile Windows Update, ci avverte che sta aggiornando il nostro computer. Nel frattempo, invece, sta “semplicemente” criptando in modo irreversibile tutti i nostri file.
Fantom si diffonde tramite l’eseguibile a.xe che ben si cela agli antivirus ed agli occhi degli utenti: andando a scrutare nelle sue proprietà, infatti, la descrizione reca la dicitura “critical update” e la firma del copyright riporta la sigla “Microsoft 2016”.
Una volta avviato, tale file lancia l’esecuzione del programma “WindowsUpdate.exe” che visualizza, appunto, una schermata blu in stile Windows Update secondo la quale sarebbe in corso – con tanto di percentuale di avanzamento ed icona circolare roteante – la configurazione di aggiornamenti critici. Al fine di evitare che il proprietario del computer sia preso dalla voglia di stoppare il finto aggiornamento, magari premendo il pulsante “power”, la schermata richiede di “non spegnere il computer.
In questo modo, Fantom riuscirà tranquillamente a criptare tutti i nostri dati secondo un protocollo di sicurezza militare e invierà la chiave AES-128 generata in un server remoto C&C (Command&Control) dal quale partirà, a sua volta, l’input a visualizzare la pagina html DECRYPT_YOUR_FILES che contiene, oltre all’identificativo della vittima, anche i consigli per sbloccare i propri file.
Manco a dirlo, la suddetta pagina inviterà a scrivere all’indirizzo fantomd12@yandex.ru (o fantom12@techemail.com) per ottenere le debite istruzioni per il pagamento, in BitCoin, del riscatto.
Kroustek spiega, in un suo intervento Twitter, che – al momento – non esistono modi per debellare Fantom e decriptare i file da quest’ultimo mascherati: le tecniche basate usualmente sul kit malware open-source EDA2, infatti, non risultano funzionare con la variante alla base di Fantom.
Quindi, l’unico modo per fronteggiare il pericolo rappresentato da Fantom che, celandosi dietro una falsa schermata Windows Update utilizza un algoritmo di criptazione particolarmente ostico – ad oggi – consiste solo nel fare buona opera di prevenzione non cliccando su file di dubbia origine, nel passarli preventivamente sotto la lente dei propri antivirus e anti-malware e, soprattutto, nell’eseguire il regolare backup dei propri dati su una periferica esterna.