Очередная вредоносная программа, разработанная на базе открытого исходного кода EDA2, была обнаружена исследователем из компании AVG Якубом Кроустеком. Как утверждает эксперт, Fantom помещает на экран инфицированного компьютера фальшивое окно обновления Windows, которое уведомляет о процессе установки критического патча. На самом деле вымогательская программа в фоновом режиме скрытно шифрует пользовательские файлы.
В настоящее время нет какого-либо способа восстановления информации без уплаты выкупа. Как утверждает Лоуренс Абрамс из Bleeping Computer, создатели Fantom сделали все возможное для сокрытия вредоносной активности вымогательской программы, замаскировав ее под критический патч Windows, в частности, в свойства файлов было помещено название critical update.
После того, как программа Fantom была установлена на системе жертвы, происходит извлечение и выполнение файла WindowsUpdate.exe, отображающего фальшивый экран установки обновления Windows. Он размещается поверх всех окон, открытых пользователем, и осуществляет блокировку доступа к другим программам. Убрать его можно, одновременно нажав клавиши Ctrl и F4. Произойдет завершение фальшивого процесса установки обновлений, система снова примет привычный вид, но шифрование файлов все равно будет продолжено.
По окончании процесса шифрования программа Fantom демонстрирует сообщение с инструкциями по восстановлению информации и уникальным идентификатором, который присваивается каждому пострадавшему пользователю. В уведомлении говорится, что жертва должна связаться с операторами вредоносной программы по указанному адресу электронной почты и передать им свой идентификатор. Затем необходимо заплатить злоумышленникам выкуп, после чего пользователь сможет получить инструмент для расшифровки.