{"id":7615,"date":"2016-09-02T23:30:39","date_gmt":"2016-09-02T23:30:39","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=7615"},"modified":"2020-07-03T04:43:28","modified_gmt":"2020-07-03T10:43:28","slug":"fantom-ransomware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/fantom-ransomware\/7615\/","title":{"rendered":"El ransomware Fantom finge ser Windows Update"},"content":{"rendered":"<p lang=\"es-ES\">A menudo te recomendamos que actualices tu sistema operativo y los programas de forma regular porque el <em>malware <\/em>puede aprovecharse de las vulnerabilidades, a no ser que se parchen a tiempo. Pues resulta que un <em>ransomware <\/em>llamado <a href=\"http:\/\/www.bleepingcomputer.com\/news\/security\/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update\/\" target=\"_blank\" rel=\"noopener nofollow\">Fantom <\/a>se vale de la idea de las actualizaciones.<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/09\/05200207\/fantom-ransomware-featured.jpg<\/p>\n<p lang=\"es-ES\">Desde un punto de vista t\u00e9cnico, Fantom es casi id\u00e9ntico a muchos de los ransomware de su tipo. Se basa en el c\u00f3digo abierto de <em>ransomware<\/em> EDA2, desarrollado por Utku Sen como parte de un <a href=\"https:\/\/latam.kaspersky.com\/blog\/ded-cryptor-ransomware\/8621\/\" target=\"_blank\" rel=\"noopener\">experimento fallido<\/a>. De hecho, es uno de los muchos cifradores basados en EDA2, pero en su intento de camuflar su actividad, Fantom va un poco m\u00e1s lejos.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"es\" dir=\"ltr\">C\u00f3mo un proyecto educativo de c\u00f3digo abierto se ha convertido en el <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> Ded Cryptor <a href=\"https:\/\/t.co\/yvJhu8u6WO\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/yvJhu8u6WO<\/a> <a href=\"https:\/\/t.co\/nHn9aiJrxN\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/nHn9aiJrxN<\/a><\/p>\n<p>\u2014 Kaspersky Espa\u00f1a (@KasperskyES) <a href=\"https:\/\/twitter.com\/KasperskyES\/status\/753620388819701760?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">July 14, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p lang=\"es-ES\">Todav\u00eda no conocemos los m\u00e9todos de distribuci\u00f3n de Fantom, pero despu\u00e9s de infiltrarse en una computadora, empieza con la rutina t\u00edpica de todo <em>ransomware<\/em>: crea una clave de cifrado, la cifra y la guarda en un servidor de mando y control para usarla m\u00e1s adelante.<\/p>\n<p lang=\"es-ES\">Luego, el troyano analiza la computadora en busca de los tipos de archivo que puede cifrar (m\u00e1s de 350, incluidos los formatos populares de Office, audio e im\u00e1genes). Utiliza la clave mencionada para cifrarlos y a\u00f1ade la extensi\u00f3n .fantom a sus nombres. Aun as\u00ed, con todos esos procesos funcionando en segundo plano, la parte m\u00e1s interesante sucede ante los ojos de la propia v\u00edctima.<\/p>\n<p lang=\"es-ES\">Antes de que lleguemos a esa parte, debemos mencionar que este <em>ransomware <\/em>ejecutable se camufla fingiendo ser una actualizaci\u00f3n cr\u00edtica de Windows Update y, cuando se pone a hacer su labor, no ejecuta uno, sino dos programas: el cifrador y un peque\u00f1o programa con el inocente nombre de WindowsUpdate.exe.<\/p>\n<p lang=\"es-ES\">El \u00faltimo se utiliza para simular una ventana de Windows Update genuina (una pantalla azul que informa de que Windows est\u00e1 siendo actualizado). Mientras Fantom cifra los archivos de los usuarios en segundo plano, el mensaje de la pantalla muestra el progreso de la \u201cactualizaci\u00f3n\u201d (en realidad el cifrado).<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/09\/03044320\/windows-update-screen.png<\/p>\n<p lang=\"es-ES\">Este truco est\u00e1 dise\u00f1ado para desviar la atenci\u00f3n de las v\u00edctimas y que no sospechen de la actividad sospechosa de sus ordenadores. El falso Windows Update se ejecuta a pantalla completa y bloquea visualmente el acceso a otros programas.<\/p>\n<p lang=\"es-ES\">Si los usuarios sospechan, pueden minimizar la pantalla falsa con el comando Ctrl+F4, pero eso no impedir\u00e1 que Fantom cifre los archivos.<\/p>\n<p lang=\"es-ES\">Una vez finalizado el proceso de cifrado, Fantom elimina su rastro (borra los ejecutables), crea una nota de rescate en .html, la copia en cada carpeta y reemplaza el fondo de pantalla del escritorio con una notificaci\u00f3n. El atacante deja una direcci\u00f3n de e-mail para que la v\u00edctima pueda comunicarse, discutir los t\u00e9rminos del pago y recibir las instrucciones.<\/p>\n<p><span lang=\"es-ES\">Por cierto, dejar informaci\u00f3n de contacto es t\u00edpico en los <\/span><em><span lang=\"es-ES\">hackers<\/span><\/em><span lang=\"es-ES\"> de habla rusa y hay otros indicios que indican los or\u00edgenes rusos de estos <\/span><em><span lang=\"es-ES\">hackers<\/span><\/em><span lang=\"es-ES\">: la direcci\u00f3n de e-mail Yandex.ru y un ingl\u00e9s p\u00e9simo. Como menciona Bleeping Computer, \u201cla gram\u00e1tica y la expresi\u00f3n puede que sean las peores que he visto en una nota de rescate hasta la fecha\u201d.<\/span><\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/09\/03044325\/ransom-note-screen.png<\/p>\n<p lang=\"es-ES\">La mala noticia es que no hay forma de descifrar los archivos afectados sin pagar el rescate (y no recomendamos su pago). As\u00ed que, de entrada, lo mejor ser\u00e1 que evites convertirte en una v\u00edctima. Aqu\u00ed te dejamos unos consejos:<\/p>\n<ul>\n<li>Realiza copias de seguridad de tus datos a menudo y guarda dicha copia de tus archivos en una unidad externa sin conexi\u00f3n. Tener una copia de seguridad significa que podr\u00e1s restaurar tu sistema y los archivos aunque tu PC llegue a infectarse. Por cierto, la caracter\u00edstica Copia de seguridad de<a href=\"https:\/\/kas.pr\/KTS16LAT\" target=\"_blank\" rel=\"noopener\"> Kaspersky Total Security<\/a> automatiza este progreso.<\/li>\n<li>Ten cuidado: no abras adjuntos sospechosos de e-mails, no entres en p\u00e1ginas inseguras y no hagas click en anuncios dudosos. Fantom, como cualquier <em>malware<\/em>, puede usar cualquiera de estos vectores de ataque para infiltrarse en tu sistema.<\/li>\n<li>Usa una soluci\u00f3n de seguridad robusta. Por ejemplo, <a href=\"https:\/\/kas.pr\/KIS16LAT\" target=\"_blank\" rel=\"noopener\">Kaspersky Internet Security<\/a> ya detecta Fantom con los nombres de Trojan-Ransom.MSIL.Tear.wbf o PDM:Trojan.Win32.Generic y si una muestra desconocida de <em>ransomware <\/em>se saltara la protecci\u00f3n del antivirus, el componente System Watcher busca acciones sospechosas y las bloquea.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>El ransomware Fantom muestra una pantalla falsa de Windows Update mientras cifra tus archivos.<\/p>\n","protected":false},"author":2194,"featured_media":7616,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,6],"tags":[638,2613,2633,2725,472,1262,79],"class_list":{"0":"post-7615","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-amenazas","10":"tag-cifradores","11":"tag-eda2","12":"tag-fantom","13":"tag-ransomware","14":"tag-troyanos","15":"tag-windows"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fantom-ransomware\/7615\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fantom-ransomware\/7599\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fantom-ransomware\/7622\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fantom-ransomware\/9024\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fantom-ransomware\/8886\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fantom-ransomware\/12939\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fantom-ransomware\/2400\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fantom-ransomware\/12891\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fantom-ransomware\/6045\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fantom-ransomware\/6524\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/fantom-ransomware\/5335\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fantom-ransomware\/8578\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/fantom-ransomware\/12483\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fantom-ransomware\/12939\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fantom-ransomware\/12891\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fantom-ransomware\/12891\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/amenazas\/","name":"amenazas"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7615","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2194"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=7615"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7615\/revisions"}],"predecessor-version":[{"id":19262,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7615\/revisions\/19262"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/7616"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=7615"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=7615"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=7615"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}