{"id":180941,"date":"2016-08-27T02:56:09","date_gmt":"2016-08-27T00:56:09","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=180941"},"modified":"2022-11-07T19:20:42","modified_gmt":"2022-11-07T18:20:42","slug":"fantom-ransomware-als-windows-fake-update","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/08\/27\/fantom-ransomware-als-windows-fake-update\/","title":{"rendered":"Fantom-Ransomware als Windows Fake-Update &hellip;"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Die Entwickler von Erpressungstrojanern werden immer raffinierter. Eine Phantom-Ransomware treibt es auf die Spitze und zeigt eine Windows 10-Update.Meldung an.<\/p>\n<p><!--more--><\/p>\n<p>Entdeckt wurde die Ransomware von <a href=\"https:\/\/twitter.com\/JakubKroustek\" target=\"_blank\" rel=\"noopener\">Jakub Kroustek<\/a> von AVG, der einen <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/768859775002181636\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf Twitter abgesetzt hat. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Fantom Ransomware Encrypts your Files while pretending to be Windows Update<a href=\"https:\/\/t.co\/sRdTD7yAyn\">https:\/\/t.co\/sRdTD7yAyn<\/a><\/p>\n<p>\u2014 Lawrence Abrams (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/768859775002181636\">25. August 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<p>Die von BleepingComputer im Details <a href=\"https:\/\/web.archive.org\/web\/20220217162329\/https:\/\/www.bleepingcomputer.com\/news\/security\/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update\/\" target=\"_blank\" rel=\"noopener\">beschriebene<\/a> Ransomware nutzt die Tatsache, dass Microsoft alle paar Tage ein Update f\u00fcr Windows 10 raus bl\u00e4st. Die Ransomware gibt vor, ein wichtiges Update f\u00fcr Windows 10 zu sein und f\u00fchrt auch eine Datei <em>WindowsUpdate.exe <\/em>aus. Der Nutzer bekommt sogar eine \"Update-Anzeige\" zu sehen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/web.archive.org\/web\/20220926103827\/https:\/\/www.bleepstatic.com\/images\/news\/ransomware\/f\/fantom\/fake-windows-update-screen.jpg\" width=\"632\" height=\"344\"\/><br \/>(Quelle: BleepingComputer)<\/p>\n<p>Die Anzeige erfolgt aber nicht unter Windows PE, sondern der BlueScreen \u00fcberlagert lediglich den Windows-Desktop. Im Hintergrund verschl\u00fcsselt die Schadsoftware die Dokumente des Benutzers. Die \u00dcberraschung kommt (auch das ist f\u00fcr Windows 10 nicht neu), erst sp\u00e4ter. Dann meldet sich die Ransomware mit einer Fehlermeldung im Klartext:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/web.archive.org\/web\/20220926103826\/https:\/\/www.bleepstatic.com\/images\/news\/ransomware\/f\/fantom\/html-ransom-note.png\" width=\"622\" height=\"537\"\/><br \/>(Quelle: BleepingComputer)<\/p>\n<p>Die verschl\u00fcsselten Dateien tragen die Erweiterung <em>.fantom<\/em>. Unter <em>%UserProfile%\\2d5s8g4ed.jpg<\/em> wird dann noch eine Bilddatei gespeichert, die den Namen des Sch\u00e4dlings tr\u00e4gt. Weitere Details sind dem <a href=\"https:\/\/web.archive.org\/web\/20220217162329\/https:\/\/www.bleepingcomputer.com\/news\/security\/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update\/\" target=\"_blank\" rel=\"noopener\">BleepingComputer-Artikel zu entnehmen<\/a>. (<a href=\"http:\/\/www.neowin.net\/news\/fantom-ransomware-pretends-to-be-windows-update-while-it-encrypts-your-files\" target=\"_blank\" rel=\"noopener\">via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Entwickler von Erpressungstrojanern werden immer raffinierter. Eine Phantom-Ransomware treibt es auf die Spitze und zeigt eine Windows 10-Update.Meldung an.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4715,4328,4325],"class_list":["post-180941","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-ransomware","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/180941","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=180941"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/180941\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=180941"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=180941"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=180941"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}