Säkerhetsforskare vid FortiGuard Labs har upptäckt en ny typ av ransomware som riktar sig till hemdatoranvändare. Dubbad Big Head, ransomware förfalskar Windows Update för att undvika upptäckt.
Forskare noterar att det finns två huvudstammar av ransomware och flera varianter. Attacken riktar sig till Windows-användare. Efter lyckad infektion kommer ransomwaren att kryptera filer på de system som den äventyrade för att kräva en lösensumma för fildekryptering.
Minst en variant av Big Head är förklädd som en Microsoft Windows-uppdatering. När den har körts visar den en “Kritiska Windows Update Settings”-skärm för användaren som förfalskar legitimitet.
Fortinet noterar att denna falska uppdateringsskärm varar cirka 30 sekunder och räknas upp till 100 % i processen. Den stängs automatiskt efter att ransomware har krypterat ett stort antal filer på användarens system. Filnamnen ändras slumpmässigt enligt forskarna.
En lösennota öppnas, som börjar med README_ följt av ett sjusiffrigt slumptal. Skaparen av ransomware ber användaren att upprätta kontakt via e-post eller Telegram för att betala en lösen och återfå åtkomst till de krypterade filerna med hjälp av fildekrypteringsinstruktionerna.
Trend Micro-forskare tillhandahåller ytterligare teknisk information om Big Head ransomware-familjen. Ransomware släpper tre körbara filer på den attackerade maskinen, 1.exe, archive.exe och Xarch.exe, som tjänar olika syften.
1.exe, till exempel, skapar en autorun-registernyckel som ska köras vid varje systemstart. Dessutom döljer den konsolfönstret och skapar en kopia av sig själv, som den sparar som discord.exe i .
Filen kommer också att tappa ransomware-anteckningen, kan ändra bakgrunden på offrets dator och kan öppna operatörens Telegram-konto i en webbläsare.
Trend Micro noterade att skadlig programvara avslutar ett antal processer vid körning, inklusive Task Manager och mer.
Liksom många andra ransomware-stammar, riktar Big Head sig bara på specifika platser. Dessa inkluderar Tyskland, USA, Italien, Frankrike, Belgien, Spanien, Sverige, Turkiet och dussintals andra länder.
Det är i nuläget oklart hur ransomwaren distribueras. Forskare hittade en variant med en Word-ikon, vilket kan tyda på att distributionen är en falsk applikation.
Det tydliga fokuset för ransomware är hemanvändare och inte organisationer. Att använda en falsk Windows Update-skärm är en tydlig indikator på detta.
Forskare noterar att Big Head inte är utbrett för närvarande. Vissa antivirus- och säkerhetslösningar skyddar redan enheter mot Big Head-attacker. Säkerhetsapplikationer från Fortinet och Trend Micro upptäcker och blockerar redan ransomware på användardatorer.
Annons
