Trojaner tarnt sich als Windows-Update

Erpresser-Trojaner „Fantom“ nutzt eine besonders hinterhältige Tarnung, um unentdeckt seine Arbeit zu erledigen: Er gibt vor, ein kritisches-Windows-Update zu sein. Nutzer erkennen den Trick erst, wenn sie zur Kasse gebeten werden.

Wer wird schon misstrauisch, wenn der Computer-Bildschirm anzeigt, dass ein wichtiges Windows-Update durchgeführt werden soll? Schließlich heißt es ja auch immer wieder, man solle sein Betriebssystem stets aktuell halten, um möglichst gut gegen Angriffe aus dem Internet geschützt zu sein. Auf diese Reaktion der Nutzer hoffen offensichtlich die Kriminellen, die hinter dem neu entdeckten Erpresser-Trojaner „Fantom“ stecken.

Wie „Bleepingcomputer“ berichtet, gibt der Schädling vor, eine kritische – also besonders wichtige – Windows-Aktualisierung zu sein. Dafür zeigt er dem Nutzer ein gefälschtes Update-Fenster an, das sich über alle anderen Anwendungen legt. Es ist kein schlichter Screenshot, sondern hat sogar eine laufende Fortschrittsanzeige, um absolut glaubhaft zu wirken. Wenn kritische Nutzer die Dateieigenschaften aufrufen, sehen sie für Laien glaubwürdige Infos. Der Trojaner nennt sich „critical update kb01“, als Rechteinhaber wird Microsoft angegeben.

Fantom ist nicht zu stoppen

Wenn man das gefälschte Update-Fenster sieht, ist es bereits zu spät, „Fantom“ aufzuhalten. Nutzer könnten dann zwar noch das Fenster mit der Tastenkombination Ctrl + F4 schließen, schreibt „Bleepingcomputer“. Die Ransomware fahre im Hintergrund aber fort, die Dateien nach dem Standard AES-128 zu verschlüsseln. Sie haben dann die Endung „.fantom“.

Ist der Trojaner fertig, gibt er sich mit einem Warnfenster zu erkennen. Darin behaupten die Drahtzieher in schlechtem Englisch, sogar den Standard AES-256 verwendet zu haben, der auch zum Schutz von Militärgeheimnissen eingesetzt werde. Die Opfer hätten nur eine Chance, ihre Dateien wiederherzustellen: Sie müssen bezahlen. Dafür geben die Erpresser E-Mail-Adressen an, über die die Nutzer Kontakt aufnehmen können, um weitere Instruktionen zu erhalten. Schließlich weisen die Gangster die Opfer darauf hin, dass jeder Schlüssel, für den sie kein Lösegeld erhalten hätten, nach einer Woche automatisch zerstört werde. Damit der Nutzer dies nicht vergisst, ersetzt der Trojaner den Hintergrundbildschirm mit einem Warnhinweis und den E-Mail-Adressen.

Wie „Fantom“ verbreitet wird, steht in dem Artikel nicht. Möglicherweise steckt der Trojaner in E-Mail-Anhängen oder lauert auf präparierten Webseiten – vielleicht sogar als vermeintliches Windows-Update. „Golem.de“ weist darauf hin, dass „Fantom“ inzwischen von den bekanntesten Antivirus-Programmen erkannt wird. Die weit verbreitete Gratis-Software Qihoo-360 erkennt den Trojaner laut „Virus Total“ bisher aber nicht.

TIPP: Virenschutz stets aktuell halten, Computer auf Malware scannen – z.B. mit Malwarebytes Keine Anhänge in unbekannten Emails öffnen !

Quelle: n-tv.de , kwe