Программа-вымогатель Big Head, которая выглядит как обновление Windows, также может удалять резервные копии

В прошлом месяце исследователи безопасности из FortiGuard Labs, исследовательской организации безопасности Fortinet, опубликовали свои выводы относительно варианта программы-вымогателя, который заражал устройства, маскируя себя под критические обновления Windows.

На изображении ниже показан фальшивый экран Центра обновления Windows, который эта программа-вымогатель, получившая название «Big Head», отображает, когда она, по сути, шифрует файлы в фоновом режиме, пока пользователь ждет, пока его компьютер завершит предполагаемое обновление Windows. Процесс занимает около 30 секунд.

Упомянутый выше — это первый вариант программы-вымогателя, известный как вариант A. Существует также другой вариант, называемый вариантом B, который использует файл PowerShell с именем «cry.ps1» для шифрования файлов на скомпрометированных системах.

Fortinet заявляет, что способна обнаруживать и защищать от следующих сигнатур типа Big Head:

FortiGuard Labs обнаруживает известные варианты программ-вымогателей Big Head со следующими антивирусными сигнатурами:

• MSIL/Fantom.R!tr.ransom
• MSIL/Агент.FOV!tr
• MSIL/Kryptik.AGXL!tr
• MSIL/ClipBanker.MZ!tr.ransom

После этого Trend Micro пару дней назад опубликовала собственное исследование и выводы о Big Head, раскрыв более подробную информацию о вредоносном ПО. Компания обнаружила, что вирус, также проверяет виртуализированные среды, такие как Virtual Box или VMware, и даже удаляет резервные копии службы теневого копирования томов (VSS).

Trend Micro объясняет:

Программа-вымогатель проверяет такие строки, как VBOX, Virtual или VMware, в реестре перечисления дисков, чтобы определить, работает ли система в виртуальной среде. Она также сканирует процессы, содержащие следующую подстроку: VBox, prl_(parallel’s desktop), srvc.exe, vmtoolsd.

Вредоносное ПО идентифицирует конкретные имена процессов, связанных с программным обеспечением для виртуализации, чтобы определить, работает ли система в виртуализированной среде, что позволяет ему соответствующим образом корректировать свои действия для достижения большего успеха или уклонения. Она также может приступить к удалению доступной резервной копии для восстановления с помощью следующей командной строки:

vssadmin delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Trend Micro также проанализировала еще пару образцов, кроме приведенного выше. Три образца и их характеристики приведены ниже:

• Первый образец включает в свою цепочку заражения бэкдор.
• Во втором примере используется троян-шпион и/или похититель информации.
• В третьем примере используется файловый инфектор.

Вы можете найти более подробную техническую информацию, а также IOC (Индикаторы компрометации) Big Head на веб-сайтах Fortinet и Trend Micro.