Προσοχή! Το Big Head ransomware που μοιάζει με ενημέρωση των Windows μπορεί επίσης να διαγράψει αντίγραφα ασφαλείας
Τον περασμένο μήνα, ερευνητές ασφαλείας στο FortiGuard Labs, τον ερευνητικό οργανισμό ασφαλείας της Fortinet, δημοσίευσαν τα ευρήματά του σχετικά με μια παραλλαγή
ransomware
που μόλυνε συσκευές μεταμφιεσμένη σε κρίσιμες ενημερώσεις των
Windows
.
Η παρακάτω εικόνα δείχνει την ψεύτικη οθόνη του Windows
Update
που εμφανίζει αυτό το ransomware, που ονομάζεται “Big Head”, όταν ουσιαστικά κρυπτογραφεί αρχεία στο παρασκήνιο, ενώ ο χρήστης περιμένει τον υπολογιστή του να ολοκληρώσει την υποτιθέμενη ενημέρωση των Windows. Η διαδικασία διαρκεί περίπου 30 δευτερόλεπτα.
Αυτή που αναφέρθηκε παραπάνω είναι η πρώτη παραλλαγή του ransomware, γνωστή ως Παραλλαγή Α. Υπάρχει επίσης μια άλλη παραλλαγή που ονομάζεται Παραλλαγή Β, η οποία χρησιμοποιεί ένα αρχείο PowerShell που ονομάζεται “cry.ps1” για κρυπτογράφηση αρχείων σε παραβιασμένα συστήματα.
Η Fortinet λέει ότι είναι σε θέση να ανιχνεύει και να προστατεύει από τις ακόλουθες υπογραφές παραλλαγής Big Head:
Το FortiGuard Labs εντοπίζει γνωστές παραλλαγές ransomware Big Head με τις ακόλουθες υπογραφές AV:
- MSIL/Fantom.R!tr.ransom
- MSIL/Agent.FOV!tr
- MSIL/Kryptik.AGXL!tr
- MSIL/ClipBanker.MZ!tr.ransom
Μετά από αυτό, η Trend Micro δημοσίευσε τη δική της έρευνα και ευρήματα σχετικά με το Big Head πριν από μερικές ημέρες, αποκαλύπτοντας περισσότερες λεπτομέρειες σχετικά με το κακόβουλο λογισμικό. Η εταιρεία διαπίστωσε ότι το ransomware ελέγχει επίσης για εικονικά περιβάλλοντα όπως το Virtual Box ή το VMware, μεταξύ άλλων, και συνεχίζει να διαγράφει τα αντίγραφα ασφαλείας του Volume Shadow Copy
Service
(VSS), κάτι που το κάνει αρκετά τρομακτικό.
Η Trend Micro εξηγεί:
Το ransomware ελέγχει για συμβολοσειρές όπως το VBOX, το Virtual ή το VMware στο μητρώο απαρίθμησης δίσκων για να προσδιορίσει εάν το σύστημα λειτουργεί σε εικονικό περιβάλλον. Επίσης, πραγματοποιεί σάρωση για διεργασίες που περιέχουν την ακόλουθη υποσυμβολοσειρά: VBox, prl_(επιφάνεια εργασίας του parallel), srvc.exe, vmtoolsd.
Το κακόβουλο λογισμικό προσδιορίζει συγκεκριμένα ονόματα διεργασιών που σχετίζονται με το λογισμικό εικονικοποίησης για να προσδιορίσει εάν το σύστημα εκτελείται σε εικονικοποιημένο περιβάλλον, επιτρέποντάς του να προσαρμόσει τις ενέργειές του ανάλογα για καλύτερη επιτυχία ή αποφυγή. Μπορεί επίσης να προχωρήσει στη διαγραφή του διαθέσιμου αντιγράφου ασφαλείας ανάκτησης χρησιμοποιώντας την ακόλουθη γραμμή εντολών:
vssadmin delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Η Trend Micro ανέλυσε επίσης μερικά περισσότερα δείγματα εκτός από το παραπάνω. Τα τρία δείγματα και τα χαρακτηριστικά τους συνοψίζονται παρακάτω:
Το πρώτο δείγμα ενσωματώνει μια κερκόπορτα στην αλυσίδα μόλυνσης.
Το δεύτερο δείγμα χρησιμοποιεί έναν trojan κατάσκοπο ή/και κλέφτη πληροφοριών.
Το τρίτο δείγμα χρησιμοποιεί ένα αρχείο infector.
Μπορείτε να βρείτε περισσότερες τεχνικές λεπτομέρειες καθώς και ΔΟΕ (Δείκτες Συμβιβασμού) του Big Head στους ιστότοπους της Fortinet και της Trend Micro που συνδέονται στις παρακάτω πηγές.
Πηγή:
Fortinet
μέσω
Trend Micro
