Cuidado! Big Head ransomware que se parece com atualização do Windows também pode excluir backups
No mês passado, pesquisadores de segurança do FortiGuard Labs, a organização de pesquisa de segurança da Fortinet, publicaram suas descobertas sobre uma variante de ransomware que estava infectando dispositivos disfarçando-se de atualizações críticas do Windows.
A imagem abaixo mostra a tela falsa do Windows Update que este ransomware, apelidado de “Big Head”, exibe quando está essencialmente criptografando arquivos em segundo plano enquanto o usuário espera que seu PC conclua a suposta atualização do Windows. O processo leva cerca de 30 segundos.
O mencionado acima é a primeira variante do ransomware, conhecida como Variant A. Há também outra variante chamada Variant B, que usa um arquivo PowerShell chamado “cry.ps1” para criptografia de arquivos em sistemas comprometidos.
A Fortinet diz que é capaz de detectar e proteger contra as seguintes assinaturas variantes do Big Head:
O FortiGuard Labs detecta variantes conhecidas do ransomware Big Head com as seguintes assinaturas AV:
- MSIL/Fantom.R!tr.ransom
- MSIL/Agent.FOV!tr
- MSIL/Kryptik.AGXL!tr
- MSIL/ClipBanker.MZ!tr.ransom
Depois disso, a Trend Micro publicou sua própria pesquisa e descobertas sobre o Big Head alguns dias atrás, revelando mais detalhes sobre o malware. A empresa descobriu que o ransomware também verifica ambientes virtualizados como Virtual Box ou VMware, entre outros, e até exclui backups do Volume Shadow Copy Service (VSS), o que o torna bastante assustador.
A Trend Micro explica:
O ransomware verifica strings como VBOX, Virtual ou VMware no registro de enumeração de disco para determinar se o sistema está operando em um ambiente virtual. Ele também procura por processos que contenham a seguinte substring: VBox, prl_(desktop do paralelo), srvc.exe, vmtoolsd.
O malware identifica nomes de processo específicos associados ao software de virtualização para determinar se o sistema está sendo executado em um ambiente virtualizado, permitindo que ele ajuste suas ações de acordo para obter melhor sucesso ou evasão. Ele também pode excluir o backup de recuperação disponível usando a seguinte linha de comando:
vssadmin delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
A Trend Micro também analisou mais algumas amostras além da acima. As três amostras e suas características foram resumidas abaixo:
A primeira amostra incorpora um backdoor em sua cadeia de infecção.
A segunda amostra emprega um espião trojan e/ou ladrão de informações.
A terceira amostra utiliza um infectador de arquivo.
Você pode encontrar mais detalhes técnicos, bem como IOCs (Indicators of Compromise) de Big Head nos sites da Fortinet e Trend Micro vinculados nas fontes abaixo.
Fonte: Fortinet via Trend Micro
Deixe um comentário