Новости Новый шифровальщик Big Head отображает экран обновления Windows

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.070
Репутация
11.695
Реакции
61.878
RUB
50
Исследователи наткнулись на новое семейство программ-вымогателей, которое распространяется за счёт рекламы фейковых обновлений Windows и Microsoft Word.


Шифровальщику дали имя Big Head. В блоге компании Fortinet появился июньский пост, посвящённый двум образцам «большой головы». Тогда специалисты анализировали векторы проникновения зловреда и пытались выяснить, как именно запускается вымогатель.

Теперь Trend Micro опубликовала собственный технический разбор Big Head. По словам экспертов, несколько найденных семплов принадлежат одному оператору, который просто экспериментирует с разными подходами для оптимизации собственных атак.

1infection-routine-1.jpg


В сущности, Big Head представляет собой .NET-бинарник, устанавливающий три зашифрованных AES файла в целевую систему. Один их них используется для распространения конечного вредоноса, другой — для взаимодействия с телеграм-ботом, а третий — шифрует файлы, а также может отображать пользователю фейковые обновления Windows.

2registry-autorun.png


Сразу после запуска программа-вымогатель создаёт ключ автозапуска в реестре, перезаписывает существующие файлы (если требуется), настраивает атрибуты системных файлов и отключает Диспетчер задач Windows (Task Manager).

Каждой жертве присваивается собственный идентификатор, который либо извлекается из директории %appdata%\ID, либо генерируется при помощи случайной строки из 40 символов. Как и все современные шифровальщики, «большая голова» удаляет теневые копии перед тем, как непосредственно взяться за файлы. К каждому пострадавшему файлу добавляется расширение «.poop».

Кроме того, Big Head завершает перечисленные ниже процессы, чтобы они не мешали выполнению задач:

3process-terminate.jpg


Интересно, что во время шифрования программа-вымогатель отображает экран, копирующий обновление Windows:

4windows-updates.jpg


По завершении шифрования на устройство сбрасывается записка с требованиями. Обои в атакованной системе также меняются, уведомляя пользователя о заражении:

5ransom.jpg


 
Исследователи обнаружили новое семейство программ-вымогателей под названием Big Head. Оно распространяется через фейковые обновления Windows и Microsoft Word, которые появляются через рекламу. Big Head является .NET-бинарником и устанавливает три зашифрованных AES файла в систему. Один из них используется для распространения вредоносного программного обеспечения, другой для взаимодействия с телеграм-ботом, а третий шифрует файлы и может показывать пользователю фейковые обновления Windows.

После запуска, программа создает ключ автозапуска в реестре, изменяет файлы, настраивает атрибуты системных файлов и отключает Диспетчер задач Windows. Каждой жертве присваивается собственный идентификатор, который либо извлекается из директории %appdata%\ID, либо генерируется случайно. Big Head также удаляет теневые копии файлов перед шифрованием и добавляет расширение ".poop" к каждому зашифрованному файлу. Он также завершает несколько процессов, чтобы не мешать своему выполнению.

Во время шифрования, программа показывает экран, копирующий обновление Windows. По завершении шифрования, на устройство сбрасывается записка с требованиями и меняются обои, уведомляя пользователя о заражении.
 
Поэтому юзаю пиратки ворда и винды самой в целом.
 
Сверху Снизу