De forma rotineira, recomendamos que você atualize seu sistema operacional regularmente. Vulnerabilidades não corrigidas são a porta de entrada para malwares. O ransomware Fantom explora exatamente as atualizações.
De um ponto de vista técnico, o Fantom é quase indêntico a muitos outros ransomwares. É baseado em um ransomware de código livre EDA2, desenvolvido por Utku Sen como parte de um experimento fracassado. Trata-se de um dos muitos cryptoblockers baseados no EDA-2, mas o Fantom vai muito além na hora de encobrir o rastro.
Não conhecemos os métodos de distribuição do Fantom. Porém, ao infiltrar em um computador, inicia a rotina comum de um ransomware: criar uma chave de criptografia, criptografá-la, e armazená-la em um servidor de comando e controle para uso futuro.
#Ransomware ranscam não dá a mínima se você paga o resgate ou não | https://t.co/u4neSo1hc9 pic.twitter.com/UYcNliLyAU
— Kaspersky Brasil (@Kasperskybrasil) August 23, 2016
O Trojan, então, analisa o computador, em busca de arquivos dos tipos que é capaz de bloquear (mais de 350, incluindo formatos comuns de documentos, áudios e imagens). A senha já mencionada é utilizada para bloquear os arquivos que recebem a extensão .fantom. Contudo, com todos esses processos sendo executados em segundo plano, a parte mais interessante ocorre bem na cara da vítima.
Antes de chegarmos ao cerne da questão, é preciso mencionar que o executável desse ransomware se passa por uma atualização do Windows. É aí que o malware começa o trabalho sujo, executa não apenas um, mas dois programas: o próprio criptor e um programa de nome inocente, WindowsUpdate.exe.
Esse segundo programa foi projetado para simular a tela de atualização do Windows (tela azul que informa que seu computador está sendo atualizado). Enquanto o Fantom criptografa os arquivos do usuário em segundo plano, a mensagem na tela mostra que a “atualização” está em progresso.
O golpe é pensado para distrair a vítima da atividade suspeita em seus dispositivos. A atualização falsa ocorre em modo de tela cheia, o que bloqueia visualmente o acesso a outros programas.
Um usuário desconfiado poderia minimizar a tela falsa com Ctrl+F4, mas isso não impedirá o Fantom de criptografar arquivos.
Uma vez que o processo de criptografia está executado, o Fantom elimina os indícios (deleta os executáveis), e cria um bilhete de resgate em html, deixa uma cópia em cada pasta e substitui o papel de parede com um aviso. O criminoso ainda fornece um endereço de e-mail por meio do qual a vítima pode entrar em contato, discutir os termos do pagamento e receber instruções adicionais.
Fornecer informações de contato é típico de hackers russos. Existem ainda outros indícios que apontam para a origem russa dos criminosos: o endereço de e-mail do Yandex.ru e o domínio pobre da língua inglesa. Especialistas do Bleeping Computer apontam que os erros gramaticais e ortográficos são os “piores que já vimos em um bilhete de resgate até hoje”.
A má notícia é que até o momento não há como desbloquear os arquivos sem pagar o resgate, o que não recomendamos. Assim, a melhor forma de lidar com a situação é não se tornar uma das vítimas. Aqui vão algumas dicas:
- Faça backups de seus arquivos regularmente, mantenha uma cópia em uma mídia externa desconectada. Ter esses backups significa que você será capaz de restaurar seus arquivos mesmo que seu PC seja infectado. O Kaspersky Total Securtity possui uma ferramenta que automatiza esse processo.
- Tenha cuidado: não abra e-mails suspeitos, fique fora de sites duvidosos, e não clique em propagandas questionáveis. O Fantom, como qualquer outro ransomware, pode usar qualquer um desses vetores para se infiltrar no seu sistema.
- Use uma solução de segurança robusta: como o Kaspersky Internet Security já capaz de detectar o Fantom como Trojan-Ransom.MSIL.Tear.wbf ou PDM:Trojan.Win32.Generic. E mesmo que um ransomware ainda desconhecido passasse pelo antivírus, a função do System Watcher, que monitora comportamentos suspeitos o bloquearia.