„Big Head“ ransomware sa šíri ako aktualizáciu Windowsu, môže napadnúť aj vás. Hackeri žiadajú mastné výkupné!
Bezpečnostní experti si všímajú niekoľko podobných druhov ransomwaru Big Head, ktorý obetiam zablokuje prístup k zariadeniu a žiada od nich peniaze.
Hackeri a kyberzločinci neoddychujú ani počas leta. Bezpečnostní experti z Trendmicro odhalil novú rodinu ransomwaru, ktorú pomenovali Big Head. Zatiaľ si všimli najmenej dve varianty ransomwaru, pričom obe sa začali šíriť od mája tohto roku.
Ransomware je druh škodlivého softvéru, ktorý obeti zablokuje prístup k zariadeniu, dokým obeť kyberzločincovi nezaplatí požadovanú sumu. Typy ransomwaru sa môžu líšiť, pričom sa útočník môže vyhrážať aj vymazaním alebo ukradnutím osobných informácií. Kyberzločinec najčastejšie pýta platbu v kryptomenách, no spôsoby sa taktiež môžu líšiť. Ak obeť hackerovi zaplatí, stále neexistuje záruka že útočník zariadenie odomkne.
Oba zaznamenané typy ransomwaru mali v kontaktnej správe rovnakú e-mailovú adresu, čo vedie bezpečnostných expertov k záveru, že oba vytvoril rovnaký vývojár. Hlbšia analýza odhalila množstvo verzií tohto škodlivého softvéru. Hoci zatiaľ nemožno s istotou povedať ako sa vírus môže šíriť, vo všetkých doteraz skúmaných prípadoch kyberzločinci napádali zariadenia cez falošné Windows aktualizáciee alebo falošné inštalačné súbory programu Word.
Prvá skúmaná vzorka ransomwaru Big Head v sebe ukrývala detailnejšie informácie ohľadom inštalačného procesu. Malvér počas procesu inštalácie vytvára kľúč v registri, kontroluje prítomnosť určitého súboru, ktorý prepíše, ak to je treba. Následne nastaví atribúty systémového súboru a vytvára zápis v registri, prostredníctvom ktorého sa môže automaticky spúšťať. Bezpečnostní experti si zároveň všimli prítomnosť troch spustiteľných súborov s príponou „.exe“.
Ako ransomware Big Head funguje?
„1.exe“ je súbor, ktorý vytvára kópie pre ďalšie šírenie. Po spustení skontroluje súbory s príponou „.r3d“, než ich zašifruje a pripojí príponu „.poop“. Druhým pozorovaným exe súborom je „Archive.exe“, ktorý do zariadenia vkladá súbor „teleratserver.exe“. Ide o Telegram bota ktorý vytvorí komunikáciu s kyberzločincom. Posledným pozorovaným súborom je „Xarch.exe“. Ten do zariadenia vkladá časť ransomwaru „BXIuSsB.exe“. Tento program šifruje súbory a zároveň ukazuje falošné oznámenie o prebiehajúcej aktualizácii. Tým chce obete oklamať, že ide o normálny proces.
Neprehliadnite
Ransomware dokáže pomocou príkazu ukryť konzolové okno, zatiaľ čo vytvorí zápis v registri Windowsu. Tento zápis umožní malvéru spustiť sa pri zapnutí počítača. Popritom ransomware vytvorí kópiu, ktorá sa uloží ako „discord.exe“. Ransomware následne kontroluje ID obete. Ak existuje, malvér ho overí, v opačnom prípade vytvorí náhodne generovaný 40 znakov dlhý string zápis, ktorý uloží do „%appdata% \ID“. Tento zápis slúži ako spôsob označenia obetí ransomwaru.
Po infikovaní zariadenia ransomwarom sa na pracovnej ploche obete objaví „výkupné“, textový súbor ktorý obeť informuje, že jej súbory boli zašifrované a zverejnené ransomwarom Big Head. Spolu s touto správou sa objavuje kontakt na útočníka. Ransomware zároveň zmení pozadie obete. Kyberzločinec žiada za odomknutie zariadenia 1 bitcoin, čo je dnes približne 27 500 eur.
Zaujímavé je, že sa ransomware sám zruší, ak má obeť nastavený ruský, bieloruský, ukrajinsky, arménsky, kazašský, kirgizský alebo iný jazyk. Ransomware sa vyhýba dôležitým systémovým priečinkom, v ktorých by ho antivírové programy jednoducho našli. Malvér zároveň dokáže poznať, ak sa nachádza vo virtuálnom prostredí, teda simulovanom uzatvorenom prostredí, z kade nemá šancu infikovať skutočné zariadenie.
Komentáre