W zeszłym miesiącu badacze bezpieczeństwa z FortiGuard Labs opublikowali swoje ustalenia dotyczące wariantu ransomware, który infekował urządzenia podszywając się pod krytyczne aktualizacje systemu Windows.
Poniższy obrazek pokazuje fałszywy ekran Windows Update, który wyświetla ransomware „Big Head”. Podczas gdy użytkownik czeka, aż komputer zakończy rzekomą aktualizację systemu, złośliwe oprogramowanie szyfruje pliki w tle. Proces ten trwa zaledwie 30 sekund.
Oprogramowanie Big Head może również usuwać kopie zapasowe
Wspomniany powyżej sposób działania to pierwszy wariant ransomware, znany jako wariant A. Istnieje również inny wariant o nazwie wariant B, który wykorzystuje plik PowerShell o nazwie „cry.ps1” do szyfrowania plików w zaatakowanych systemach.
Grupa Fortinet twierdzi, że jest w stanie wykrywać i chronić przed następującymi sygnaturami wariantów Big Head:
MSIL/Fantom.R!tr.ransom
MSIL/Agent.FOV!tr
MSIL/Kryptik.AGXL!tr
MSIL/ClipBanker.MZ!tr.ransom
Następnie firma Trend Micro opublikowała kilka dni temu własne badania i ustalenia dotyczące Big Head, ujawniając więcej szczegółów na temat złośliwego oprogramowania. Odkryli oni, że ransomware sprawdza również środowiska zwirtualizowane, takie jak Virtual Box lub VMware, a nawet usuwa kopie zapasowe Volume Shadow Copy Service (VSS), co czyni go dość przerażającym.
Ransomware sprawdza ciągi takie jak VBOX, Virtual lub VMware w rejestrze wyliczania dysków, aby określić, czy system działa w środowisku wirtualnym. Skanuje również procesy, które zawierają następujący ciąg: VBox, prl_(pulpit równoległy), srvc.exe, vmtoolsd.
Złośliwe oprogramowanie identyfikuje określone nazwy procesów związane z oprogramowaniem do wirtualizacji, aby określić, czy system działa w środowisku zwirtualizowanym, co pozwala mu odpowiednio dostosować swoje działania w celu osiągnięcia większego sukcesu ataku. Może również przystąpić do usuwania kopii odzyskiwania danych przy użyciu następującego wiersza poleceń:
vssadmin delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Trend Micro przeanalizował również kilka innych próbek niż ta powyżej. Ich charakterystyka została podsumowana poniżej:
- Pierwsza próbka zawiera backdoora w swoim łańcuchu infekcji
- Druga próbka wykorzystuje trojana szpiegującego i/lub kradnącego informacje
- Trzecia próbka wykorzystuje infektor plików
Więcej szczegółów technicznych, a także IOC (Indicators of Compromise) Big Head można znaleźć na stronach internetowych Fortinet i Trend Micro.
Najnowsze Komentarze