Ransomware наречен Big Head се дистрибуира скриен во лажни ажурирања на Microsoft Windows и лажни Microsoft Word. Big Head првпат беше забележан од истражувачите на Fortinet FortiGuard Labs минатиот месец, кога биле забележани повеќе варијанти на ренсомвер дизајниран да ги шифрира датотеките на уредите на жртвите. Најголем дел од инфекциите се пријавени во САД, Шпанија, Франција и Турција.
Во новиот извештај Trend Micro детално опиша како функционира откупниот софтвер. Злонамерниот софтвер прикажува лажен кориснички интерфејс на Windows Update за да ја измами жртвата да мисли дека е легитимен процес на ажурирање на софтверот.
Big Head брише резервни копии, завршува неколку процеси и врши проверки за да утврди дали работи во виртуелна средина пред да продолжи со шифрирањето на датотеките.
Го оневозможува Task Manager за да ги спречи корисниците да го прекинат или истражуваат неговиот процес и ги прекинува неговите активности ако јазикот на компјутерот е руски, белоруски, украински, казахстански, киргистански, ерменски, грузиски, татарски и узбекистански. Исто така, малициозниот софтвер има функција што му овозможува да се избрише и да ги отстрани трагите од неговото присуство. Trend Micro вели дека открил примерок од Big Head кој делува и како ransomware и како малициозен софтвер за крадење податоци. Тој примерок го содржи софтверот со отворен код WorldWind Stealer што го користи за собирање историја на веб-прелистувач, списоци на директориуми, процеси на работа, клучеви за производи и информации за мрежата.
Откриена е и трета варијанта на Big Head која вклучува инфектор на датотеки наречен Neshta, кој се користи за инјектирање на малициозен код во извршни датотеки на заразен уред.
„Оваа техника може да направи некој малициозен софтвер да се појави како друг вид на закана, како вирус, кој може да ги деприоритизира безбедносните решенија кои првенствено се фокусираат на откривање откупни софтвери“, се вели во извештајот.
Кој стои зад Big Head во моментов е непознат, но истражувачите се сомневаат дека оние кои стојат зад откупниот софтвер најверојатно се од индонезиско потекло.
Малициозниот софтвер сѐ уште е во развој. Сепак, „безбедносните тимови треба да бидат подготвени со оглед на различните функционалности на малициозниот софтвер“, предупредија истражувачите. „Оваа повеќеслојна природа му дава на малициозниот софтвер потенцијал да предизвика значителна штета кога е целосно оперативен, што го прави поголем предизвик за одбраната на системот, бидејќи секој вектор на напад бара посебно внимание”.