Rozwijające się złośliwe oprogramowanie ransomware o nazwie Big Head jest rozpowszechniane za pomocą fałszywych reklam. Wykorzystuje ono podszywanie się pod aktualizacje systemu Microsoft Windows i instalatory programu Word.
Big Head został po raz pierwszy odkryty przez zespół Fortinet FortiGuard Labs w poprzednim miesiącu. Wykryto wiele wariantów tego ransomware, które mają na celu zaszyfrowanie plików na komputerach ofiar i żądanie okupu w kryptowalucie w zamian za ich odszyfrowanie.
Według ekspertów z Fortinet, wariant oprogramowania ransomware o nazwie One Big Head wyświetla fałszywe aktualizacje systemu Windows, co sugeruje, że mogło być ono również dystrybuowane jako fałszywa aktualizacja. Jeden z wariantów ma ikonę Microsoft Word i prawdopodobnie był rozpowszechniany jako fałszywe oprogramowanie tego programu. Przesłane do tej pory próbki Big Head pochodzą głównie z USA, Hiszpanii, Francji i Turcji.
Firma Trend Micro przeprowadziła nową analizę tego złośliwego oprogramowania ransomware opartego na platformie .NET. W raporcie szczegółowo opisano sposób działania tego malware’u, zwracając uwagę na trzy zaszyfrowane pliki binarne: 1.exe, który rozprzestrzenia złośliwe oprogramowanie, archive.exe, który ułatwia komunikację za pomocą Telegrama, oraz Xarch.exe, który służy do zaszyfrowania plików i wyświetlania fałszywych aktualizacji systemu Windows
Złośliwe oprogramowanie wyświetla fałszywy interfejs Windows Update, aby oszukać ofiarę, myśląc, że szkodliwa aktywność jest legalnym procesem aktualizacji oprogramowania, z procentowym postępem w przyrostach co 100 sekund – tłumaczą osoby związane z Trend Micro
Big Head nie różni się od innych rodzajów złośliwego oprogramowania ransomware poprzez swoje działania. Przed rozpoczęciem procesu szyfrowania plików, oprogramowanie to usuwa kopie zapasowe, zamyka kilka procesów i sprawdza, czy działa w środowisku wirtualnym.
Dodatkowo, ten szkodliwy program wyłącza Menedżera zadań, uniemożliwiając użytkownikom zakończenie lub analizę jego procesu. Jeśli język systemu odpowiada językowi rosyjskiemu, białoruskiemu, ukraińskiemu, kazachskiemu, kirgiskiemu, ormiańskiemu, gruzińskiemu, tatarskiemu lub uzbeckiemu, ransomware przerywa swoje działanie. Oprogramowanie to posiada również funkcję samodzielnego usuwania, dzięki której może usunąć swoje ślady.
