AVG 科技的 Jakub Kroustek 已经发现了勒索软件的新品种，它假装是 Windows 更新程序，其实在偷偷摸摸加密用户文件。这款名为魅影的勒索软件会在用户电脑当中释放一个名为a.exe 的文件，文件属性表明它包含 Windows 重要更新，甚至写入了微软 2016 年版权所有，以降低受害者怀疑。

一旦程序被执行，它会提取并运行名下的另一个应用程序WindowsUpdate.exe。这将在屏幕上显示微软 Windows 更新画面，并且带有百分比进度条，并提醒用户在更新完成之前不要关闭电脑。屏幕看起来和真正的 Windows 更新画面没有多少差别。一旦显示以上画面，该程序不会让用户有切换应用程序的机会。

通过在屏幕上假装配置 Windows 更新，它实际上在默默地在后台加密文件。一旦完成，它会生成一个随机的 AES-128 密钥，该密钥将被上传到恶意软件的指挥和控制。最后，它会在受害者电脑上打开一个 HTML 文件，其中告诉受害者如何支付赎金，以及如何重新解密文件。不幸的是，目前还没有方法可以破解魅影勒索软件加密的文件。

ITle="1472207174_fake-windows-update-screen_story.jpg" src="http://news.cnblogs.com/images2015.cnblogs.com/news/66372/201608/66372-20160827003252319-978210596.jpg" />

ITle="1472207327_html-ransom-note_story.jpg" src="http://news.cnblogs.com/images2015.cnblogs.com/news/66372/201608/66372-20160827003252351-1835539562.jpg" />