Big Head, быстро распространяющаяся программа. Она поражает пользователей Windows, имитируя легитимные обновления. Эксперты рекомендуют проявлять бдительность и обновлять антивирусную защиту, поскольку продолжают появляться многочисленные разновидности , сообщает psm7.com.
В Интернете быстро распространяется новый вирус. Его назвали Big Head. Он поражает компьютеры с операционной системой Windows, выдавая себя за обновление.
Об этом сообщили эксперты компании Trend Micro. Big Head при открытии на компьютере показывает экран обновления Windows. Однако это не обновление, а вирус, который блокирует файлы на компьютере. Затем он требует выкуп за их разблокировку.
Эксперты отмечают, что все это происходит менее чем за минуту. Обычно пользователи не успевают понять, что происходит.
При этом он существует и в ещё одной версии — Variant B. Она также удаляет файлы резервных копий из службы теневого копирования VSS. В результате пользователям становится сложно восстановить свои данные.
Поэтому эксперты советуют пользователям внимательно относиться к тому, откуда они загружают файлы. Они также рекомендуют по возможности использовать обновленную антивирусную защиту.
Детали
«Один из вариантов программы Big Head ransomware отображает поддельное обновление Windows Update, что может свидетельствовать о том, что эта программа также распространялась как поддельное обновление Windows», — заявили тогда исследователи Fortinet. «Один из вариантов имеет значок Microsoft Word и, вероятно, распространялся как поддельное программное обеспечение».
Большинство образцов Big Head пока поступило из США, Испании, Франции и Турции.
Компания Trend Micro более подробно рассмотрела ошибку на базе .NET. Он может разворачивать три заблокированных файла: 1.exe для распространения ошибки, archive.exe для переписки через Telegram и Xarch.exe для блокировки файлов и показа поддельного обновления Windows.
«Вредоносная программа отображает поддельный пользовательский интерфейс Windows Update, чтобы обмануть жертву и заставить ее думать, что вредоносная активность — это легитимный процесс обновления программного обеспечения, с указанием процента выполнения с шагом в 100 секунд», — заявили в компании по кибербезопасности.
Как и другие подобные ошибки, Big Head удаляет резервные копии, останавливает несколько процессов и проверяет, запущен ли он в виртуальной среде, прежде чем заблокировать файлы.
Кроме того, жучок отключает диспетчер задач, чтобы пользователи не могли завершить или исследовать его процесс. Он также самостоятельно завершает работу, если язык машины соответствует русскому, белорусскому, украинскому, казахскому, киргизскому, армянскому, грузинскому, татарскому и узбекскому. Кроме того, он имеет функцию самоудаления.
Trend Micro также обнаружила второй элемент Big Head, который одновременно ведет себя и как жучок. Последний использует открытое ПО WorldWind Stealer для сбора истории веб-браузеров, списков каталогов, запущенных процессов, ключей продуктов и сетевой информации.
Исследователи также обнаружили третью версию Big Head, включающую файловый инфектор под названием Neshta. Neshta добавляет вредоносный код в исполняемые файлы на зараженном хосте.
«Включение Neshta в процесс развертывания вымогательского ПО может также служить в качестве маскировочной техники для конечной полезной нагрузки Big Head», — заявили исследователи Trend Micro.
И добавили:
«Эта техника может заставить вредоносную программу выглядеть как угроза другого типа, например вирус, что может сместить приоритеты решений безопасности, которые в первую очередь нацелены на обнаружение программ-вымогателей».
Личность человека, создавшего Big Head, в настоящее время неизвестна. Однако Trend Micro обнаружила канал на YouTube с названием aplikasi premium cuma cuma, что позволяет предположить его вероятное индонезийское происхождение.
«Команды безопасности должны быть готовы к тому, что вредоносная программа обладает разнообразными функциональными возможностями», — заключили исследователи. «Такая многогранность дает вредоносному ПО возможность нанести значительный ущерб после начала работы, что усложняет защиту систем, поскольку каждый вектор атаки требует отдельного внимания».
Автор Антон Мачула
Источник psm7.com