Oprócz bezpośrednich prób oszustwa, takich jak fałszywe maile czy SMS-y z nakazem zapłaty, cyberprzestępcy równie mocno angażują się w rozprzestrzenianie złośliwego oprogramowania. Robią to na bardzo wiele sposobów, korzystając z zainfekowanych załączników, aplikacji podszywających się pod te popularne albo programów udających aktualizacje systemowe. „Big Head” jest najnowszym tego przykładem.
Uważajcie na złośliwe oprogramowanie “Big Head”. Przestępcy ukrywają je w aktualizacji Windowsa
Ransomware odkryte przez badaczy bezpieczeństwa z FortiGuard Labs podszywa się pod aktualizację Windowsa, by niepostrzeżenie zainfekować nasz komputer. Istnieje wiele wariantów tego oprogramowania, ale ich głównym celem jest szyfrowanie plików na komputerze ofiary, by następnie żądać „okupu” w formie kryptowalut za odblokowanie ważnych dla nas dokumentów czy całych folderów.
Wariant oprogramowania ransomware One Big Head wyświetla fałszywą aktualizację systemu Windows, co może wskazywać, że oprogramowanie ransomware było również dystrybuowane jako fałszywa aktualizacja systemu Windows. Jeden z wariantów ma ikonę Microsoft Word i prawdopodobnie był rozpowszechniany jako fałszywe oprogramowanie – stwierdzili badacze FortiGuard Labs w ubiegłym miesiącu, kiedy to po raz pierwszy natrafiono na „Big Head”.
Po dokonaniu dokładniejszej analizy ujawniono szczegóły działania tego ransomware. Badacze wskazują, że oprogramowanie ma możliwość wdrożenia trzech zaszyfrowanych plików binarnych:
- 1.exe do rozprzestrzeniania złośliwego oprogramowania,
- archive.exe do ułatwienia komunikacji przez Telegram
- Xarch.exe służący do szyfrowania plików i wyświetlania fałszywej aktualizacji systemu Windows.
Złośliwe oprogramowanie wyświetla fałszywy interfejs Windows Update, aby oszukać ofiarę, by ta myślała, że szkodliwa aktywność jest legalnym procesem aktualizacji oprogramowania, z procentowym postępem w przyrostach co 100 sekund – mówi firma.
W ogólnym działaniu „Big Head” niezbyt wyróżnia się na tle innych programów tego typu. Kiedy dostanie się na nasz komputer, usuwa kopie zapasowe, kończy kilka procesów i zanim przystąpi do szyfrowania plików sprawdza, czy działa w zwirtualizowanym środowisku. Na dodatek wyłącza Menedżera zadań, więc nawet gdy zauważymy, że coś jest nie tak, nie będziemy mieć możliwości zakończenia lub nawet zbadania zachodzącego procesu. Ransomware ma też funkcję samozniszczenia, więc jest w stanie usunąć swoją obecność.
Po wyświetleniu fałszywej aktualizacji i zaszyfrowaniu plików „Big Head” otwiera na komputerze żądanie okupu, zaczynające się README_, po którym następuje losowa siedmiocyfrowa liczba. Twórca ransomware prosi w nim o nawiązanie kontaktu za pośrednictwem poczty elektronicznej lub komunikatora Telegram w celu omówienia szczegółów przekazania pieniędzy. Kiedy kryptowaluty zostaną przelane, wysyłana jest instrukcja odszyfrowywania plików. Oprogramowanie dodatkowo może zmienić tapetę na komputerze ofiary, a nawet – chyba w celu ułatwienia kontaktu – otworzyć okno komunikatora w przeglądarce.
Niestety w tym momencie nie jest jasne, w jaki sposób cyberprzestępcy dystrybuują złośliwe oprogramowanie, ale wiadomo, że ich celem są użytkownicy domowi, a nie firmy. Na szczęście niektóre rozwiązania antywirusowe i zabezpieczające już teraz chronią urządzenia przed atakami Big Head. My sami też możemy przeciwdziałać podobnym atakom. Należy pamiętać, że jakiekolwiek aktualizacje systemu należy pobierać tylko ze sprawdzonych źródeł, takich jak strona producenta. Jeśli chodzi o Windowsa, tutaj jest jeszcze łatwiej, bo nie musimy otwierać witryny Microsoftu, wystarczy sprawdzenie dostępnych aktualizacji w Windows Update. Pamiętajcie też, by nie klikać i nie pobierać podejrzanych załączników wysyłanych za pośrednictwem komunikatorów czy poczty elektronicznej. Lepiej kilka razy się upewnić i zachować szczególną ostrożność, niż stracić dostęp do ważnych plików czy – jak to ma miejsce w innych przypadkach – stać się ofiarą kradzieży danych i pieniędzy.