Новая программа-вымогатель Big Head маскируется под предупреждение об обновлении Windows
Новая программа-вымогатель Big Head маскируется под предупреждение об обновлении Windows. Фото: СС0
Два образца вредоносного ПО были ранее проанализированы компанией Fortinet , занимающейся кибербезопасностью , которая изучила вектор заражения и то, как выполняется вредоносное ПО.
Накануне Trend Micro опубликовала технический отчет о Big Head , в котором утверждается, что все штаммы исходят от одного оператора, который, вероятно, экспериментирует с различными подходами для оптимизации своих атак.
Программа-вымогатель Big Head — это двоичный файл .NET, который устанавливает в целевой системе три файла, зашифрованных с помощью AES. Один используется для распространения вредоносного ПО, другой — для связи с ботами Telegram, а третий шифрует файлы и также может показать пользователю поддельное сообщение от, якобы, центра обновления Windows.
Вымогатель создаёт ключ автозапуска реестра, перезапимывает существующие файлы, устанавливает атрибуты системных файлов и отключает диспетчер задач.
Каждой жертве присваивается уникальный идентификатор, который либо извлекается из каталога %appdata%\ID, либо генерируется с использованием случайной строки из 40 символов.
Программа-вымогатель удаляет теневые копии, чтобы предотвратить простое восстановление системы, прежде чем шифровать целевые файлы и добавить расширение «.poop» к их именам.
Кроме того, Big Head прекращает следующие процессы, чтобы предотвратить вмешательство в процесс шифрования и освободить данные, которые должна заблокировать вредоносная программа.
Каталоги Windows, «Корзина», «Program Files», «Temp», «Program Data», «Microsoft» и «App Data» не шифруются, чтобы не сделать систему непригодной для использования.
Команда Trend Micro обнаружила, что программа-вымогатель проверяет, работает ли она на виртуальном компьютере, ищет системный язык и переходит к шифрованию только в том случае, если он не установлен язык страны-члена Содружества Независимых Государств (бывших Советских Республик).
Во время шифрования программа-вымогатель отображает экран, выдающий себя за законное обновление Windows.
После завершения процесса шифрования обои жертвы меняются, на них отображается сообщение о заражении.
Trend Micro также проанализировала еще два варианта программы-вымогателя Big Head, выделив некоторые ключевые отличия от стандартной версии программы-вымогателя.
Второй вариант поддерживает возможности программ-вымогателей, но вдобавок собирает и похищает конфидент из системы жертвы.
Данные, которые эта версия Big Head может украсть, включают историю просмотров, список каталогов, установленные драйверы, запущенные процессы, ключ продукта и активные сети. Эловред также может делать снимки экрана.
Третий вариант, обнаруженный Trend Micro, представляет собой инструмент заражения файлов Neshta, который вставляет вредоносный код в исполняемые файлы на взломанной системе.
По словам экспертов, наличие нескольких вариантов свидетельствует о том, что создатели Big Head постоянно разрабатывают и совершенствуют вредоносное ПО, экспериментируя с различными подходами, чтобы определить, какой из них работает лучше всего.
Startpack подготовил список антивирусных продуктов. Они помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
34733
Комментариев пока не было