Windows Updates sind was gutes. Sie schliessen Sicherheitslücken und geben uns neue Features.
Doch es geht auch anders. Ein neuer Erpressertrojaner gibt sich als Sicherheitsupdate für Windows aus und wiegt so die Benutzer in Sicherheit.
Wie BleepingComputer berichtet basiert der Trojaner auf dem EDA2 Ransomware Projekt. Durch die Ransomware wird ein gefälschtes Windows Update Bild eingeblendet, man vermutet dass Windows Updates installiert werden.
Die Prozent anzeige funktioniert sogar wirklich, es wird angezeigt wie viel Prozent Daten bereits verschlüsselt wurden.
Sogar die Datei Eigenschaften geben an dass es sich um ein Windows Update handelt.
Wenn der Trojaner ausgeführt wird. öffnet dieser ein Programm das WindowsUpdate.exe Heist, dieses generiert den oben gezeigten Update-Screen und überdeckt somit alle Aktivitäten im Hintergrund. Mit CTRL+F4 kann der Update-Screen geschlossen werden und man erhält die normale Windows Oberfläche wieder, der Trojaner verschlüsselt jedoch weiterhin sämtliche Daten.
Die verschlüsselten Dateien werden mit der Erweiterung .fantom versehen.
Zum Abschluss erscheint die alt bekannte Mitteilung der „Erpresserbrief“
Ebenfalls wird die Datei DECRYPT_YOUR_FILES.HTML in jedem Ordner mit verschlüsselten Dateien abgelegt und die Schattenkopien sowie das gefakte Update gelöscht.
Schreibe einen Kommentar