Cuidado! Big Head ransomware que se parece com atualização do Windows também pode excluir backups

No mês passado, pesquisadores de segurança do FortiGuard Labs, a organização de pesquisa de segurança da Fortinet, publicaram suas descobertas sobre uma variante de ransomware que estava infectando dispositivos disfarçando-se de atualizações críticas do Windows.

A imagem abaixo mostra a tela falsa do Windows Update que este ransomware, apelidado de “Big Head”, exibe quando está essencialmente criptografando arquivos em segundo plano enquanto o usuário espera que seu PC conclua a suposta atualização do Windows. O processo leva cerca de 30 segundos.

O mencionado acima é a primeira variante do ransomware, conhecida como Variant A. Há também outra variante chamada Variant B, que usa um arquivo PowerShell chamado “cry.ps1” para criptografia de arquivos em sistemas comprometidos.

A Fortinet diz que é capaz de detectar e proteger contra as seguintes assinaturas variantes do Big Head:

O FortiGuard Labs detecta variantes conhecidas do ransomware Big Head com as seguintes assinaturas AV:

• MSIL/Fantom.R!tr.ransom
• MSIL/Agent.FOV!tr
• MSIL/Kryptik.AGXL!tr
• MSIL/ClipBanker.MZ!tr.ransom

Depois disso, a Trend Micro publicou sua própria pesquisa e descobertas sobre o Big Head alguns dias atrás, revelando mais detalhes sobre o malware. A empresa descobriu que o ransomware também verifica ambientes virtualizados como Virtual Box ou VMware, entre outros, e até exclui backups do Volume Shadow Copy Service (VSS), o que o torna bastante assustador.

A Trend Micro explica:

O ransomware verifica strings como VBOX, Virtual ou VMware no registro de enumeração de disco para determinar se o sistema está operando em um ambiente virtual. Ele também procura por processos que contenham a seguinte substring: VBox, prl_(desktop do paralelo), srvc.exe, vmtoolsd.

O malware identifica nomes de processo específicos associados ao software de virtualização para determinar se o sistema está sendo executado em um ambiente virtualizado, permitindo que ele ajuste suas ações de acordo para obter melhor sucesso ou evasão. Ele também pode excluir o backup de recuperação disponível usando a seguinte linha de comando:


vssadmin delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

A Trend Micro também analisou mais algumas amostras além da acima. As três amostras e suas características foram resumidas abaixo:

• A primeira amostra incorpora um backdoor em sua cadeia de infecção.

• A segunda amostra emprega um espião trojan e/ou ladrão de informações.

• A terceira amostra utiliza um infectador de arquivo.

Você pode encontrar mais detalhes técnicos, bem como IOCs (Indicators of Compromise) de Big Head nos sites da Fortinet e Trend Micro vinculados nas fontes abaixo.

Fonte: Fortinet via Trend Micro