ما اغلب به شما توصیه میکنیم که سیستمعامل و نرمافزار خود را به طور منظم بهروزرسانی کنید اما اگر آسیبپذیریها رفع نشوند، میتوانند مورد استفاده نرمافزارهای مخرب قرار گیرند. یک نمونه نادر از باجافزار که Fantom نامیده شده است، از ایده آپدیتها سوءاستفاده کرده است.
از نظر فنی، Fantom بسیار شبیه دیگر باجافزارها است. این باج افزار در واقع بر پایه کد اُپنسورس EDA2، که توسط Utku Sen به عنوان بخشی از یک آزمایش شکست خورده توسعه داده شد، ایجاد شده است. در واقع این نمونه یکی از چندین کریپتولاکرهای EDA2 است اما با این فرق که Fantom در فعالیتهایش تلاش میکند خود را به شکل مبدلی درآورد و شناسایی نشود.
متاسفانه ما شیوه شیوع باجافزار Fantom را هنوز نمیدانیم اما پس از اینکه این باجافزار به یک سیستم نفوذ کند روال آن همانند دیگر باجافزارها خواهد بود. به این شیوه که یک کلید رمزنگاری ایجاد میکند، آن را رمزنگاری میکند، و آن را در سرور فرمان و کنترل به منظور استفاده بعدی، ذخیره میکند.
زمانی که تروجان کامپیوتر را اسکن کرد، به دنبال فایلهایی میگردد که بتواند آنها را رمزگذاری کند (بیش از ۳۵۰ نوع فایل، که شامل فرمتهای داکیومنتهای اداری محبوب، صوتها و عکسها میشود). با استفاده از کلیدی که بالا ذکر شد آن ها را رمزنگاری میکند و شروع به پخش شدن می کند. اسم فایلها به fantom تغییر مییابد. با این حال با توجه به تمام عملیاتی که بر روی پس زمینه اجرا شد، جالبترین قسمتی که در این حمله اتفاق میافتد درست دور از چشمان قربانی است.
قبل از اینکه به آن بپردازیم، قابل ذکر است که بدانید این باجافزار با لباس مبدل به عنوان یک بهروزرسان مهم در ویندوز نمایان میشود. و هنگامی که نرمافزار مخرب شروع به کار میکند، تنها یک فعالیت عملی نمیشود بلکه دو برنامه اجرا میشود: رمزگذاری انجام میشود و برنامه کوچکی با اسم WindowsUpdate.exe را نشان میدهد.
پس از آن به منظور واقعی بودن این شبیهسازی، صفحه نمایش بهروزرسانی ویندوز واقعی نشان داده میشود (یک صفحه آبی که ویندوز از آپدیت به شما اطلاع میدهد). در حالی که fantom در حال رمزنگاری فایلهای کاربر در پس زمینه است، پیام " update" بر روی صفحه نمایش داده میشود (که در واقع در این هنگام عمل رمزنگاری در حال اجرا شدن است).
این ترفند طوری طراحی شده است که ذهن قربانیان از فعالیتهای مشکوک بر روی کامپیوتر خود منحرف کند. آپدیت جعلی ویندوز در حالت فول اسکرین اجرا میشود که در عین حال دسترسی به دیگر برنامههای دیگر محدود میشود.
اگر که کاربران در این حین مشکوک شوند آنها میتوانند با فشار دادن دکمه Ctrl+F صفحه فول اسکرین را کوچک کنند اما حتی این کار هم کفایت نمیکند و رمزنگاری فایلها متوقف نمیشود.
هنگامی که رمزنگاری تمام شد، fantom تمام رد خود را از بین میبرد (فایلهای اجرایی را حذف میکند)، یک یادداشت .html ransom ایجاد میکند، از آن کپی میگیرد و در هر پوشهای قرار میدهد و تصویر دسکتاپ را با یک نوتیفیکیشن جایگزین میکند. مجرم یک آدرس ایمیلی را آماده میکند تا قربانی بتواند آن را به اصطلاح تاچ کند که در آن ایمیل، اطلاعاتی در مورد شرایط پرداخت و دستورالعملهای بیشتر ذکر شده است.
ارائه اطلاعات تماس معمولا برای هکرها به زبان روسی است، به هر حال موارد دیگر هم نشان میدهد که بیشتر جرایم ریشه در روسیه دارد. آدرس ایمیل Yandex.ru است و از نظر انگلیسیها چنین چیزی بسیار بد است. Bleeping Computer که سایتی امنیتی است گفته : "دستور زبان و جملهبندی این باجافزار میتواند یکی از بدترینها در نوع خود باشد که من تا به امروز در مورد باجخواهان دیدهام".
خبر بد اینجاست که در این نمونه هیچ راهی برای رمزگشایی فایلها به غیر از پرداخت باج وجود ندارد و ما پرداخت باج را به شما توصیه نمیکنیم. بنابراین، بهترین روش در وهله اول این است که از تبدیل شدن به یک قربانی جلوگیری کنید. در این جا چند راهنمایی ذکر شده است:
از اطلاعات خود به طور منظم بکآپگیری کنید، از فایلهای بکآپگیری شده یک نمونه کپی بگیرید و آن را در یک درایو خارجی که اتصال آن با اینترنت قطع است ذخیره کنید. داشتن بکآپ به این معنی است که شما قادر به بازگرداندن سیستم و فایلهای خود میشوید، حتی اگر کامپیوتر شما آلوده شده باشد. قابلیت بکآپگیری ویژگی اتوماتیک توتالسکیوریتیکسپرسکی است که میتوانید از آن استفاده کنید.
احتیاط کنید: هرگز پیوست ایمیلهای مشکوک را باز نکنید. از وبسایتهای مشکوک دوری کنید و بر روی تبلیغات آنلاین مشکوک کلیک نکنید، Fantom هم مانند هر بدافزار دیگری ممکن است از هر راهی برای حمله به سیستم شما استفاده کند.
از یک راهکار امنیتی قوی استفاده کنید، به عنوان مثال، Kaspersky Internet Security در حال حاضر Fantom را به عنوان Trojan-Ransom.MSIL.Tear.wbf or PDM:Trojan.Win32.Generic شناسایی میکند. حتی اگر تا به حال نمونهای از آن وجود نداشته باشد و قصد دور زدن آنتیویروس را داشته باشد، سیستم ناظر بر هرگونه رفتار مشکوکی است و آن را مسدود میکند.
منبع: کسپرسکیآنلاین