باج افزار Fantom ، با ظاهرِ به روز رسانی ویندوز ، از شما باج گیری می کند.

همواره این توصیه به ما می‌شود که سیستم‌عامل خود و نرم‌افزارهایمان را به صورت مرتب به روز کنیم. نقاط ضعف نرم‌افزارها اگر به موقع رفع نشوند می‌توانند در حملات مورد استفاده قرار بگیرند. با این حال یک باج‌افزار جدید به طرز جالبی رفتار می‌کند: «شبح» یا fantom اساس مفهوم به روزرسانی را زیر سوال برده است.
از نقطه نظر فنی، شبح تقریبا مانند سایر باج‌افزارهاست و برمبنای EDA2 کد منبع باز باج‌افزارها که توسط Utku Sen نوشته شده، ساخته شده است. در واقع شبح یکی از باج‌افزارهایی است که کمی متفاوت از باقی باج‌افزارها رفتار می‌کند و عملکرد خود را پنهان می‌کند. اطلاعات دقیقی از نحوه‌ی توزیع این بدافزار وجود ندارد اما پس از نفوذ به سیستم، روند معمول باج‌افزاری خود را شروع می‌کند: ایجاد یک کلید رمزنگاری، رمزنگاری این کلید و ذخیره‌سازی آن بر روی سرور C&C جهت استفاده‌ در زمان‌های بعدی.
سپس این تروجان کامپیوتر را اسکن کرده و به جست‌وجوی انواع فایل‌های محبوب اداری که بیش از ۳۵۰ نوع فایل است می‌پردازد. با استفاده از کلید ایجادشده که در بالا توضیح داده شد، فایل‌ها را رمزنگاری می‌کند و پسوند .fantom را به آن‌ها اضافه می‌کند. با این حال جالب‌ترین اتفاق نه عملکرد مخفیانه و نامحسوس آن، بلکه که عملی است که دقیقا در مقابل چشمان قربانی انجام می‌دهد، است.
جالب است بدانید که این باج‌افزار فعالیت خود را در پسِ به روزرسانی‌های حیاتی ویندوز پنهان می‌کند. و در زمانی که اجرا می‌شود، دو برنامه را اجرا می‌کند: برنامه‌ی رمزنگار و برنامه‌ی کوچکی که با نام عادی windowsUpdate.exe است.این برنامه‌ صفحه‌ی آبی ویندوز که مربوط به روزرسانی است را شبیه‌سازی می‌کند. در این حین شبح در حال رمزنگاری کردن فایل‌های کاربر در پس‌زمینه است و صفحه‌ی به روزرسانی ویندوز در واقع پیامی است جهت اعلام روند رمزنگاری فایل‌ها.

با این روش هر گونه توجه به فعالیت‌های مشکوک را منحرف می‌کند و امکان دیدن و دسترسی به برنامه‌های پس‌زمینه را از قربانی می‌گیرد. در غیر این صورت کاربر متوجه مورد مشکوکی می‌شد و می‌توانست از آن خارج و مانع اجرای آن شود.
پس از اتمام کار، شبح فایل‌های اجرایی‌اش را پاک می‌کند و در هر فولدر یک فایل با پسوند .html با یک یادداشت قرار می‌دهد و تصویر پس‌زمینه‌ی ویندوز را به پیام رمزنگاری‌شدن فایل‌ها و درخواست باج جهت رمزگشایی آن‌ها تغییر می‌دهد. با توجه به ایمیل قرار داده‌شده در پیام yandex.ru به احتمال زیاد نویسنده‌ی آن روس بوده است که از قرار معلوم انگلیسی بسیار ضعیفی داشته است.
Bleeping Computer بر این نظر است که گرامر و شیوه‌ی نگارش آن بدترین نوع در باج‌افزارها بوده که تا کنون مشاهده شده است.

خبر بد این است که هیچ راهی برای رمزگشایی فایل‌های رمزنگاری‌شده توسط این باج‌افزار به جز باج‌دهی وجود ندارد. و ما قویا تاکید می‌کنیم که این کار را نکنید. پس بهترین راه‌حل این است که از ابتدا قربانی این باج‌افزارها نشوید. سه راهنمایی ما به شما:
– به صورت منظم از فایل‌هایتان نسخه‌ی پشتیبان تهیه کنید و آن‌ها را بر روی هاردی بگذارید که متصل به دستگاهی نیست. با این روش مطمئن خواهید بود که حتا اگر فایل‌های شما رمزنگاری شوند به تمامی فایل‌هایتان هم‌چنان دسترسی دارید.
– مراقب باشید: فایل‌های ضمیمه‌ی ایمیل‌های مشکوک را باز نکنید. از سایت‌ها مشکوک دوری کنید و بر روی تبلیغات مشکوک سایت‌ها کلیک نکنید. شبح مانند هر باج‌افزاری از این روش‌ها جهت نفوذ به سیستم‌ها باید استفاده کند.
– از یک راه‌کار امنیتی مطمئن استفاده کنید و مطمئن شوید که system watcher شما روشن است.