Eine ausführbare Datei namens "a.exe" ist derzeit im Umlauf und gibt vor, ein kritisches Windows Update zu sein. Diese Datei sollte unter keinen Umständen ausgeführt werden, da sich dahiner der Erpressungs-Trojaner Fantom verbirgt, der Dateien auf Computern verschlüsselt und diese erst nach einer Lösegeld-Zahlung freigibt.

Unter Berufung auf den Sicherheitsforscher Jakub Kroustek von AVG warnen die Ransomware-Experten von Bleepingcomputer.com davor. In den Eigenschaften der Datei unter Details stehen gefälschte Angaben wie "Copyright Microsoft 2016". Die Kriminellen wollen so hinter dem Erpressungs-Trojaner Vertrauen wecken.

Derzeit ist noch nicht bekannt, über welchen Weg Fantom Computer befallen will. Allerdings ist eine Auslieferung über die offizielle Windows-Update-Funktion mehr als unwahrscheinlich. Wahrscheinlich wird sich Fantom wie die meisten Erpressungs-Trojaner als Anhang betrügerischer E-Mails verbreiten. Der alleinige Empfang ist in solch einem Fall noch nicht gefährlich, da ein Opfer noch den Datei-Anhang öffnen müsste.

Bleepingcomputer.com zufolge wird nach der Ausführung der Datei ein Prozess namens WindowsUpdate.exe gestartet und Fantom öffnet den Fake eines Windows-Update-Bildschirm, wie er von Windows 10 bekannt ist. Die Verschlüsselung findet dann im Hintergrund statt. Der Bildschirm kann zwar mit der Tastenkombination Ctrl+F4 ausgeblendet werden, was aber nicht den Verschlüsselungs-Prozess beenden soll. Die Datei-Namens-Erweiterung .fantom weisen die verschlüsselten Dateien auf.

Nachdem Fantom mit der Verschlüsselung fertig ist, erscheint die Erpresser-Botschaft mit Informationen zur Lösegeld-Zahlung. Es gibt momentan noch kein Entschlüsselungs-Tool, mit dem die verschlüsselten Dateien wieder entschlüsselt werden können.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE