Ransomware-a u razvoju pod nazivom Big Head distribuira se kao dio zlonamjerne kampanje koja ima oblik lažnih ažuriranja za Microsoft Windows i Word instalatora.
Big Head ransomware su prvi put pronašli istraživači iz Fortinet FortiGuard Labs-a prošlog mjeseca, kada su otkrili više varijanti ransomware-a koji su dizajnirani da šifruju datoteke na računarima žrtava u zamjenu za plaćanje u kriptovaluti. Većina infekcija je zabilježena u SAD, Španiji, Francuskoj i Turskoj.
U novoj analizi .NET-baziranog ransomware-a, Trend Micro je detaljno opisao njegov unutrašnji rad, navodeći njegovu sposobnost da implementuje tri šifrovane binarne datoteke:
- 1.exe za propagiranje zlonamjernog softvera
- archive.exe za olakšavanje komunikacije preko Telegrama
- Xarch.exe da šifrirate datoteke i prikažete lažno ažuriranje za Windows.
„Zlonamjerni softver prikazuje lažni korisnički interfejs Windows Update kako bi zavarao žrtvu da pomisli da je zlonamjerna aktivnost legitiman proces ažuriranja softvera, sa postotkom napretka u koracima od 100 sekundi“, rekla je kompanija za sajber bezbjednost.
Big Head se ne razlikuje od drugih porodica ransomware-a po tome što briše rezervne kopije, prekida nekoliko procesa i vrši provjere da bi utvrdio da li radi u virtuelnom okruženju prije nego što nastavi sa šifrovanjem fajlova.
On onemogućava Menadžer zadataka (Task Maneger) kako bi spriječio korisnike da prekinu ili istražuju njegov proces i prekida svoje aktivnosti ako je jezik računara ruski, bjeloruski, ukrajinski, kazahstanski, kirgistanski, jermenski, gruzijski, tatarski i uzbečki. Takođe, malver ima funkciju koja mu omogućava da se sam obriše i ukloni tragove svog prisustva.
Više varijanti Big Heada
Trend Micro kaže da je otkrio uzorak Big Heada koji se ponaša i kao ransomware i kao malver koji krade podatke. Taj uzorak sadrži WorldWind Stealer otvorenog koda koji koristi za prikupljanje istorije web pregledača, liste direktorijuma, pokrenutih procesa, ključeva proizvoda i informacija o mreži.
Takođe je otkrivena i treća varijanta Big Head Neshta, koja uključuje infektor fajlova. On se koristi za ubacivanje zlonamjernog koda u izvršne fajlove na zaraženom uređaju.
„Ova tehnika može da učini da se dio malvera pojavi kao druga vrsta prijetnje, kao što je virus, koji može da skrene prioritet bezbjednosnim rješenjima koja se prvenstveno fokusiraju na otkrivanje ransomware-a“, navodi se u izvještaju.
Ko stoji iza Big Heada trenutno nije poznato, ali istraživači sumnjaju da su oni koji stoje iza ransomware-a vjerovatno indonežanskog porijekla.
Malver je još uvek u fazi razvoja. Međutim, „bezbjednosni timovi treba da budu spremni s obzirom na različite funkcionalnosti malvera“, upozorili su istraživači. „Ova višestruka priroda daje malveru potencijal da izazove značajnu štetu kada bude u potpunosti operativan, što ga čini izazovnijim za odbranu sistema, jer svaki vektor napada zahtjeva posebnu pažnju.“
(IT mixer)