Llevamos una semana muy movida en lo que respecta a este tipo de amenazas. Si no aparecen nuevas, las más veteranas se actualizan para afectar a usuarios de forma satisfactoria. En esta ocasión ha sido la aparición de un nuevo ransomware conocido como Fantom el que se hace pasar por una actualización crítica del sistema operativo Windows para afectar a los usuarios.
Sobre la amenaza no existe mucha información disponible. Lo que si se ha averiguado es que para su programación se ha utilizado EDA2, un kit de desarrollo de este tipo de amenazas que salió a la luz hace varios años, aunque su disponibilidad n ha sido continuada y expertos en seguridad confirmaron que varios fallos de seguridad permitían obtener las claves de cifrado de forma más o menos sencilla.
Dejando de lado este aspecto, los expertos creen que las vías de difusión son el correo electrónico y exploits, aunque esto no está confirmado. Lo que sí han comprobado investigadores de varias empresas y han sufrido algunos usuarios es que la amenaza cuando llega al equipo tiene la apariencia de una actualización crítica de seguridad del sistema operativo Windows. Es decir, cuando el usuario ejecuta el archivo descargado, se encuentra una aplicación que posee una apariencia similar a la de Windows Update.
Mientras sucede el proceso de instalación y de cifrado, el usuario visualiza un porcentaje que simula el proceso de instalación de un software de estas características en el sistema.
Al ser pantalla completa, el usuario no puede hacer uso del PC, aunque sí que es verdad que con la combinación de teclas CTRL+F4 se puede recuperar el control del dispositivo, aunque sí que es verdad que esto no detiene el cifrado de los archivos del sistema.
Sobre el cifrado de Fantom
Los expertos añaden que utiliza un cifrado AES de 128 bits aunque posteriormente la clave obtenida se envía a un servidor propiedad de los ciberdelincuentes con un doble cifrado RSA que se ha aplicado con anterioridad.
Por desgracia, a día de hoy no existe ninguna vía que permita recuperar los archivos sin contactar con los propietarios de la amenaza vía correo electrónico. No es necesario decir que está totalmente desaconsejado realizar el pago, de ahí que recurrir a copias de seguridad sea la mejor opción o restaurar el sistema a un estado anterior.
Para no dejar huellas en el sistema, una vez que se han realizado los cambios pertinentes en el sistema del usuario, la propia amenaza lleva a cabo su desinstalación a la espera de que el usuario contacte con los ciberdelincuentes.
Fuente | Softpedia