Strzec się! Oprogramowanie ransomware Big Head, które wygląda jak aktualizacja systemu Windows, może również usuwać kopie zapasowe

W zeszłym miesiącu badacze bezpieczeństwa z FortiGuard Labs, organizacji Fortinet zajmującej się badaniami nad bezpieczeństwem, opublikowali wyniki dotyczące wariantu oprogramowania ransomware, które infekowało urządzenia, podszywając się pod krytyczne aktualizacje systemu Windows.

Poniższy obraz przedstawia fałszywy ekran Windows Update, który ten ransomware, nazwany „Big Head”, wyświetla, gdy zasadniczo szyfruje pliki w tle, podczas gdy użytkownik czeka, aż jego komputer zakończy rzekomą aktualizację systemu Windows. Proces trwa około 30 sekund.

Wspomniany powyżej to pierwszy wariant oprogramowania ransomware, znany jako Wariant A. Istnieje również inny wariant o nazwie Wariant B, który wykorzystuje plik PowerShell o nazwie „cry.ps1” do szyfrowania plików w zaatakowanych systemach.

Fortinet twierdzi, że jest w stanie wykryć i chronić przed następującymi wariantami sygnatur Big Head:

FortiGuard Labs wykrywa znane warianty ransomware Big Head z następującymi sygnaturami antywirusowymi:

• MSIL/Fantom.R!tr.ransom
• MSIL/Agent.FOV!tr
• MSIL/Kryptik.AGXL!tr
• MSIL/ClipBanker.MZ!tr.ransom

Następnie firma Trend Micro opublikowała kilka dni temu własne badania i wnioski dotyczące Big Head, odkrywając więcej szczegółów na temat złośliwego oprogramowania. Firma odkryła, że ​​oprogramowanie ransomware sprawdza również środowiska zwirtualizowane, takie jak między innymi Virtual Box lub VMware, a nawet usuwa kopie zapasowe usługi Volume Shadow Copy Service (VSS), co czyni go dość przerażającym.

Trend Micro wyjaśnia:

Ransomware sprawdza ciągi znaków, takie jak VBOX, Virtual lub VMware w rejestrze wyliczania dysków, aby określić, czy system działa w środowisku wirtualnym. Skanuje również w poszukiwaniu procesów zawierających następujący ciąg znaków: VBox, prl_(pulpit równoległy), srvc.exe, vmtoolsd.

Szkodliwe oprogramowanie identyfikuje określone nazwy procesów powiązanych z oprogramowaniem do wirtualizacji, aby określić, czy system działa w środowisku zwirtualizowanym, co pozwala mu odpowiednio dostosować swoje działania w celu uzyskania lepszego sukcesu lub uniknięcia. Można również przystąpić do usuwania dostępnej kopii zapasowej odzyskiwania za pomocą następującego wiersza poleceń:


vssadmin delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Firma Trend Micro przeanalizowała również kilka innych próbek innych niż powyższa. Trzy próbki i ich charakterystykę podsumowano poniżej:

• Pierwsza próbka zawiera backdoora w swoim łańcuchu infekcji.

• Druga próbka wykorzystuje szpiega trojańskiego i/lub złodzieja informacji.

• Trzecia próbka wykorzystuje infektor plików.

Więcej szczegółów technicznych oraz wskaźniki IOC (wskaźniki kompromisu) firmy Big Head można znaleźć w witrynach Fortinet i Trend Micro, do których łącza znajdują się w poniższych źródłach.

Źródło: Fortinet za pośrednictwem Trend Micro