Исследователи безопасности провели анализ недавно обнаруженного зловреда под названием «Big Head», который распространяется через вредоносную рекламу и показывает фальшивые обновления Windows и Microsoft Word при выполнении шифрования системы.
Два образца угрозы «Big Head» были проанализированы компанией Fortinet, которая изучала способы выполнения вредоносного кода и векторы инфицирования.
Компания Trend Micro также провела исследование и опубликовала технический отчет, посвященный Big Head. Вендор утверждает, что оба варианта зловреда и третий проанализированный образец происходят от одного оператора, который предположительно экспериментирует с различными подходами оптимизации атак.
Программа-вымогатель «Big Head» представляет собой бинарный файл .NET, который устанавливает в целевую систему три зашифрованных по алгоритму AES файла: один используется для распространения вредоносного кода, другой — для общения с ботом Telegram, а третий зашифровывает файлы и показывает фальшивые уведомления об обновлении Windows.
При выполнении вредоносный код выполняет дополнительные действия, такие как создание ключа автозапуска в реестре, перезапись существующих файлов при необходимости, установка атрибутов системных файлов и отключение Диспетчера задач.
Каждой жертве присваивается уникальный идентификатор, который либо извлекается из каталога %appdata%ID, либо генерируется с использованием случайной строки из 40 символов.
Шифровальщик удаляет теневые копии, чтобы предотвратить легкое восстановление системы перед шифрованием выбранных файлов и добавляет расширение .poop к их именам.
Более того, Big Head завершает ряд процессов, чтобы предотвратить вмешательство в процесс шифрования и освободить данные, которые вредоносный код должен заблокировать.
Каталоги Windows, Корзина, Program Files, Temp, Program Data, Microsoft и App Data пропускаются при шифровании, чтобы избежать зависания или потери стабильности системы.
Trend Micro обнаружил, что программа-вымогатель проверяет, какой язык системы установлен и используется ли виртуальная машина. Зловред переходит к шифрованию только в том случае, если системный язык отличается от языков стран-членов Содружества Независимых Государств (бывшие советские государства).
Во время шифрования вредоносная программа отображает экран, который напоминает экран легитимного обновления Windows.
После завершения процесса шифрования в нескольких директориях появляется требование выкупа, а также меняется фоновое изображение рабочего стола жертвы.
Компания Trend Micro также проанализировала два других варианта Big Head, выделив некоторые ключевые отличия по сравнению со стандартной версией программы-вымогателя.
Второй вариант, помимо стандартных возможностей шифровальщика, также включает функции кражи данных, позволяющие получать чувствительную информацию из системы жертвы.
Big Head может украсть следующие данные: история посещений в Интернете, список каталогов, установленные драйверы, выполняющиеся процессы, лицензионный ключ продукта и активные сети. Также зловред может делать снимки с экрана.
Третий образец, обнаруженный Trend Micro, включает в себя модуль инфицирования файлов «Neshta», который вставляет вредоносный код в исполняемые файлы на скомпрометированной системе.
Хотя точная цель этого модуля неясна, аналитики Trend Micro предполагают, что он может использоваться для обхода обнаружения на базе сигнатур.
Третий вариант использует другое требование выкупа и обои, но все же связан с тем же источником.
Trend Micro отмечает, что Big Head не является сложным вредоносным ПО, его методы шифрования довольно стандартны, а методы обхода легко обнаружить.
Зловред ориентирован на потребителей, которых можно обмануть простыми трюками (например, поддельное обновление Windows) или которые испытывают трудности в понимании необходимых мер безопасности для защиты от киберугроз.
Несколько вариантов угрозы, найденные в сети, указывают на то, что создатели Big Head постоянно дорабатывают вредоносное ПО, экспериментируя с различными подходами, чтобы определить, что работает лучше всего.
Источник новости: www.playground.ru
