Tietoturvayhtiö AVG:n tutkija Jakub Kroustek varoittaa uudesta Fantom-kiristysohjelmasta, joka hämää käyttäjää Windowsin päivitysruudulla.

Kroustekin mukaan Fantom on piilotettu kriittiseksi Windows-päivitykseksi naamioidun a.exe-tiedoston sisälle.

Tiedoston ominaisuuksia on muutettu käyttäjän hämäämiseksi. Ominaisuuksien mukaan kyseessä on kriittinen päivitys Windows Updatea varten, ja jopa Microsoftin copyright-merkintä on saatu oikealle paikalleen viimeistelemään huijaus.

Teknisesti orientoituneita käyttäjiä Fantom ei todennäköisesti pysty hämäämään. Suurimmassa vaarassa ovat kuitenkin kokemattomat käyttäjät.

Microsoft jakelee Windows-päivityksiä vain ja ainoastaan Windows Updaten, tai vaihtoehtoisesti omien päivityssivujensa kautta. Yhdenkään ”Windows-päivityksen” lataaminen kolmannen osapuolen verkkosivulta ei koskaan ole suositeltavaa. Microsoft ei myöskään koskaan tarjoa Windows-päivityksiä esimerkiksi sähköpostin liitetiedostoina.

Mikäli käyttäjä kuitenkin saadaan huijattua käynnistämään a.exe, käynnistyy toinen prosessi nimeltä WindowsUpdate.exe. Se esittää käyttäjälle Windowsin päivitysruudun, jossa kehotetaan odottamaan rauhallisesti päivityksen asentumista sulkematta tietokonetta. Tosiasiassa taustalla tapahtuva ”päivitys” on kuitenkin tiettyjen tiedostotyyppien salaus.

Fantom lisää jokaiseen salaamaansa kansioon viestin, joka on kirjoitettu erittäin heikolla englannilla. Viestissä uhria kehotetaan lähettämään sähköpostia tiettyyn osoitteeseen, josta hänelle toimitetaan maksuohjeet. Kun lunnaat on suoritettu, luvataan asiakkaalle lähettää salauksen purkamiseen tarvittava avain.

Valitettavasti Fantomin asettama salaus on tällä hetkellä murtamaton, joten ennaltaehkäisevän varmuuskopionnin merkitystä ei koskaan voida ylikorostaa.