Ransomware Big Head atakuje w ramach fa艂szywych aktualizacji systemu Windows

Przed rozpocz臋ciem procesu szyfrowania plik贸w, oprogramowanie to usuwa kopie zapasowe, zamyka kilka proces贸w i sprawdza, czy dzia艂a w 艣rodowisku wirtualnym.

Ransomware Big Head w fa艂szywych aktualizacjach systemu Windows, itweek.pl
Ransomware Big Head w fa艂szywych aktualizacjach systemu Windows, itweek.pl
Reklama:

Rozwijaj膮ce si臋 z艂o艣liwe oprogramowanie ransomware o nazwie Big Head jest rozpowszechniane za pomoc膮 fa艂szywych reklam. Wykorzystuje ono podszywanie si臋 pod aktualizacje systemu Microsoft Windows i instalatory programu Word.

Big Head zosta艂 po raz pierwszy odkryty przez zesp贸艂 Fortinet FortiGuard Labs w poprzednim miesi膮cu. Wykryto wiele wariant贸w tego ransomware, kt贸re maj膮 na celu zaszyfrowanie plik贸w na komputerach ofiar i 偶膮danie okupu w kryptowalucie w zamian za ich odszyfrowanie.

Wed艂ug ekspert贸w z Fortinet, wariant oprogramowania ransomware o nazwie One Big Head wy艣wietla fa艂szywe aktualizacje systemu Windows, co sugeruje, 偶e mog艂o by膰 ono r贸wnie偶 dystrybuowane jako fa艂szywa aktualizacja. Jeden z wariant贸w ma ikon臋 Microsoft Word i prawdopodobnie by艂 rozpowszechniany jako fa艂szywe oprogramowanie tego programu. Przes艂ane do tej pory pr贸bki Big Head pochodz膮 g艂贸wnie z USA, Hiszpanii, Francji i Turcji.

Firma Trend Micro przeprowadzi艂a now膮 analiz臋 tego z艂o艣liwego oprogramowania ransomware opartego na platformie .NET. W raporcie szczeg贸艂owo opisano spos贸b dzia艂ania tego malware’u, zwracaj膮c uwag臋 na trzy zaszyfrowane pliki binarne: 1.exe, kt贸ry rozprzestrzenia z艂o艣liwe oprogramowanie, archive.exe, kt贸ry u艂atwia komunikacj臋 za pomoc膮 Telegrama, oraz Xarch.exe, kt贸ry s艂u偶y do zaszyfrowania plik贸w i wy艣wietlania fa艂szywych aktualizacji systemu Windows

Z艂o艣liwe oprogramowanie wy艣wietla fa艂szywy interfejs Windows Update, aby oszuka膰 ofiar臋, my艣l膮c, 偶e szkodliwa aktywno艣膰 jest legalnym procesem aktualizacji oprogramowania, z procentowym post臋pem w przyrostach co 100 sekund – t艂umacz膮 osoby zwi膮zane z Trend Micro

Big Head nie r贸偶ni si臋 od innych rodzaj贸w z艂o艣liwego oprogramowania ransomware poprzez swoje dzia艂ania. Przed rozpocz臋ciem procesu szyfrowania plik贸w, oprogramowanie to usuwa kopie zapasowe, zamyka kilka proces贸w i sprawdza, czy dzia艂a w 艣rodowisku wirtualnym.

Dodatkowo, ten szkodliwy program wy艂膮cza Mened偶era zada艅, uniemo偶liwiaj膮c u偶ytkownikom zako艅czenie lub analiz臋 jego procesu. Je艣li j臋zyk systemu odpowiada j臋zykowi rosyjskiemu, bia艂oruskiemu, ukrai艅skiemu, kazachskiemu, kirgiskiemu, ormia艅skiemu, gruzi艅skiemu, tatarskiemu lub uzbeckiemu, ransomware przerywa swoje dzia艂anie. Oprogramowanie to posiada r贸wnie偶 funkcj臋 samodzielnego usuwania, dzi臋ki kt贸rej mo偶e usun膮膰 swoje 艣lady.

Reklama: