Prošlog mjeseca sigurnosni istraživači FortiGuard Labsa, organizacije za sigurnosna istraživanja Fortineta, objavili su svoja otkrića u vezi s varijantom ransomwarea koja je zarazila uređaje maskirajući se kao kritična ažuriranja sustava Windows.
Slika ispod prikazuje lažni zaslon Windows Updatea koji ovaj ransomware, nazvan “Big Head”, prikazuje kada u biti šifrira datoteke u pozadini sve dok korisnik čeka da njegovo računalo dovrši navodno ažuriranje Windowsa. Proces traje oko 30 sekundi.
Gore spomenuta je prva varijanta ransomwarea, poznata kao varijanta A. Postoji i druga varijanta koja se zove varijanta B, koja koristi PowerShell datoteku pod nazivom “ cry.ps1 ” za enkripciju datoteka na ugroženim sustavima.
Fortinet kaže da može otkriti i zaštititi se od sljedećih potpisa varijanti Big Head:
FortiGuard Labs otkriva poznate varijante ransomwarea Big Head sa sljedećim AV potpisima:
- MSIL/Fantom.R!tr.otkupnina
- MSIL/ Agent.FOV!tr
- MSIL/ Kryptik.AGXL!tr
- MSIL/ ClipBanker.MZ!tr.otkupnina
Nakon toga, Trend Micro je prije nekoliko dana objavio vlastito istraživanje i nalaze o Big Headu, otkrivajući više detalja o zlonamjernom softveru. Tvrtka je otkrila da ransomware također provjerava postoje li virtualizirana okruženja poput Virtual Boxa ili VMwarea, između ostalih, i čak briše sigurnosne kopije usluge Volume Shadow Copy Service (VSS), što ga čini prilično zastrašujućim.
Trend Micro objašnjava:
Ransomware provjerava nizove kao što su VBOX, Virtual ili VMware u registru nabrajanja diska kako bi utvrdio radi li sustav unutar virtualnog okruženja. Također skenira procese koji sadrže sljedeći podniz: VBox, prl_(parallel’s desktop), srvc.exe , vmtoolsd.
Zlonamjerni softver identificira specifične nazive procesa povezane sa softverom za virtualizaciju kako bi utvrdio radi li sustav u virtualiziranom okruženju, dopuštajući mu da prilagodi svoje akcije u skladu s tim za bolji uspjeh ili izbjegavanje. Također može nastaviti s brisanjem dostupne sigurnosne kopije za oporavak korištenjem sljedećeg naredbenog retka:
vssadmin delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Više tehničkih detalja kao i IOC (indikatore ugroženosti) Big Heada možete pronaći na web stranicama Fortineta i Trend Microa s poveznicama na dolje navedene izvore.
