Hinter einem Fake-Windows-Update lauert ein Verschlüsselungs-Trojaner, der es auf die Dateien des Opfers abgesehen hat. Der Verbreitungsweg ist aktuell unbekannt. Eine Infektion über den offiziellen Windows-Update-Service ist aber auszuschließen.

Derzeit ist eine ausführbare Datei namens „a.exe“ im Umlauf, die vorgibt, ein kritisches Windows Update zu sein. Wer auf diese Datei stößt, sollte sie unter keinen Umständen ausführen: Hinter der Windows-Update-Maske verbirgt sich der Erpressungs-Trojaner Fantom, der Dateien auf Computern verschlüsselt und erst nach einer Lösegeld-Zahlung freigibt.

Davor warnen die Ransomware-Experten von Bleepingcomputer.com unter Berufung auf den Sicherheitsforscher Jakub Kroustek von AVG. Klickt man auf die Eigenschaften der Datei, findet man in den Details gefälschte Angaben wie „Copyright Microsoft 2016“; so wollen die Kriminellen hinter dem Erpressungs-Trojaner Vertrauen wecken. Darüber, warum sie sich beim Benennen der ausführbaren Datei nur so wenig Mühe gegeben haben, kann man nur spekulieren.

Verbreitungsweg unbekannt

Über welchen Weg Fantom Computer befallen will, ist derzeit unbekannt. Eins sollte jedoch klar sein: eine Auslieferung über die offizielle Windows-Update-Funktion ist mehr als unwahrscheinlich. Es ist davon auszugehen, dass sich Fantom wie die meisten Erpressungs-Trojaner als Anhang betrügerischer E-Mails verbreitet. In einem derartigen Fall ist der alleinige Empfang noch nicht gefährlich, ein Opfer muss schon aktiv handeln und den Datei-Anhang öffnen.

Wenn das passiert, startet Bleepingcomputer.com zufolge ein Prozess namens WindowsUpdate.exe und Fantom öffnet den Fake eines Windows-Update-Bildschirm, wie man ihn von Windows 10 gewohnt ist. Im Hintergrund findet dann die Verschlüsselung statt. Man kann den Bildschirm zwar mit der Tastenkombination Ctrl+F4 ausblenden, das beendte aber nicht den Verschlüsselungs-Prozess. Gefangengenommene Dateien weisen die Datei-Namens-Erweiterung .fantom auf.

Hat Fantom sein Zerstörungswerk vollendet, taucht die Erpresser-Botschaft mit Informationen zur Lösegeld-Zahlung auf. Aktuell gibt es kein Entschlüsselungs-Tool, mit dem man wieder Zugriff auf verschlüsselte Dateien bekommt, ohne das Lösegeld zu zahlen.

Quelle: //heise.de/-3306245