Attenzione! Il ransomware Big Head che assomiglia all’aggiornamento di Windows può anche eliminare i backup

Il mese scorso, i ricercatori di sicurezza di FortiGuard Labs, l’organizzazione di ricerca sulla sicurezza di Fortinet, hanno pubblicato i risultati relativi a una variante di ransomware che stava infettando i dispositivi mascherandosi da aggiornamenti critici di Windows.

L’immagine sotto mostra la finta schermata di Windows Update che questo ransomware, soprannominato “Big Head”, mostra quando sta essenzialmente crittografando i file in background mentre l’utente attende che il proprio PC completi il ​​presunto aggiornamento di Windows. Il processo richiede circa 30 secondi.

Quella sopra menzionata è la prima variante del ransomware, nota come Variante A. Esiste anche un’altra variante chiamata Variante B, che utilizza un file PowerShell denominato “cry.ps1” per la crittografia dei file sui sistemi compromessi.

Fortinet afferma di essere in grado di rilevare e proteggere dalle seguenti firme della variante Big Head:

FortiGuard Labs rileva le varianti note del ransomware Big Head con le seguenti firme AV:

• MSIL/Fantom.R!tr.ransom
• MSIL/Agente.FOV!tr
• MSIL/Kryptik.AGXL!tr
• MSIL/ClipBanker.MZ!tr.ransom

Successivamente, Trend Micro ha pubblicato le proprie ricerche e scoperte su Big Head un paio di giorni fa, scoprendo maggiori dettagli sul malware. L’azienda ha scoperto che il ransomware verifica anche la presenza di ambienti virtualizzati come Virtual Box o VMware, tra gli altri, e continua persino a eliminare i backup del servizio di copia shadow del volume (VSS), il che lo rende piuttosto spaventoso.

Trend Micro spiega:

Il ransomware verifica la presenza di stringhe come VBOX, Virtual o VMware nel registro di enumerazione del disco per determinare se il sistema funziona all’interno di un ambiente virtuale. Esegue inoltre la scansione dei processi che contengono la seguente sottostringa: VBox, prl_(parallel’s desktop), srvc.exe, vmtoolsd.

Il malware identifica nomi di processi specifici associati al software di virtualizzazione per determinare se il sistema è in esecuzione in un ambiente virtualizzato, consentendogli di adattare le sue azioni di conseguenza per un migliore successo o evasione. Può anche procedere all’eliminazione del backup di ripristino disponibile utilizzando la seguente riga di comando:


vssadmin delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Trend Micro ha anche analizzato un altro paio di campioni oltre a quello sopra. I tre campioni e le loro caratteristiche sono stati riassunti di seguito:

• Il primo campione incorpora una backdoor nella sua catena di infezione.

• Il secondo esempio utilizza un trojan spia e/o un ladro di informazioni.

• Il terzo esempio utilizza un file infector.

Puoi trovare ulteriori dettagli tecnici e IOC (Indicators of Compromise) di Big Head sui siti Web di Fortinet e Trend Micro collegati alle fonti seguenti.

Fonte: Fortinet tramite Trend Micro