Trend Micro je objavio tehničko izvješće o novom ransomwareu nazvanom ‘Big Head’, čije je ranije inačice istraživao i Fortinet. Tvrde da sve tri inačice potječu od istog aktera koji prilagođava pristup napada.
Za vrijeme kriptiranja podataka korisniku na prikazuje lažni proces ažuriranja Windowsa.
Big Head je .NET binarna datoteka koja instalira tri kriptirane datoteke na sustav. Jednu za širenje zlonamjernog kôda, druga za komunikaciju s Telegram botom i treću za šifriranje datoteka i prikazivanje lažnog Windows ažuriranja.
Svaka žrtva dobije jedinstveni ID koji se dohvaća iz %appdata%\\ID direktorija ili se generira pomoću nasumičnog 40-znamenkastog niza znakova.
Ransomware uklanja shadow copies kako bi onemogućio jednostavno vraćanje sustava u stanje prije šifriranja, a preskočit će šifriranje određenih direktorija (npr. Windows, Recycle Bin, Program Files) kako bi sustav ipak ostao upotrebljiv.
Ovaj ransomware provjerava je li pokrenut u virtualnom računalu te jezik sustava. Ransomware neće kriptirati sustav ako je on postavljen na jedan od jezika bivših zemalja članica Sovjetskog saveza.
Zanimljivo je što ovaj ransomware za vrijeme enkripcije prikazuje ekran koji korisniku sugerira da je u procesu nadogradnje Windows sustava.
Nakon završetka enkripcije, korisniku se na ekranu pojavljuje poruka s obavijesti o kompromitaciji sustava.
Trend Micro zaključuje kako se ne radi o nekom sofisticiranom ransomwareu, jer su njegove tehnike enkripcije standardne te ga je lako primijetiti. Ali, fokus ovog ransomwarea je na korisnicima koji se daju zavarati jednostavnim tehnikama (kao što je prikazivanje lažnog Windows ažuriranja).
Više o Big Head ransomwareu pročitajte na:
https://www.fortinet.com/blog/threat-research/fortiguard-labs-ransomware-roundup-big-head
