Ransomware diffuso con aggiornamenti fake di Windows

I ricercatori di Trend Micro hanno comunicato di aver scovato tre varianti del ransomware noto con il nome di Big Head. Tutte e tre le varianti presentano funzionalità distinte, ma hanno una caratteristica comune: la distribuzione avviene tramite malvertising, per la precisione mediante inserzioni che pubblicizzano aggiornamenti di Windows e installer di Word fake.

Ransomware: Big Head diffuso tramite aggiornamenti di Windows fake

La prima variante è un binario .NET che installa tre file cifrati con AES: 1.exe copia se stesso su disco, Archive.exe copia teleratserver.exe, Xarch.exe copia BXIuSsB.exe. Il file 1.exe va poi ad aggiungere l’estensione .poop, teleratserver.exe è il bot Telegram che stabilisce la comunicazione con i cybercriminali, BXIuSsB.exe visualizza un update fasullo di Windows per ingannare l’utente.

Big Head agisce andando ad aggiungere una chiave al registro di Windows per la persistenza, elimina le copie shadow dei volumi per impedire il ripristino dai backup, cambia gli attributi dei file e disattiva Gestione attività.

Il ransomware cifra svariati file, ma esclude quelli in alcune directory, in modo tale che gli utenti possano comunque continuare a usare il sistema. Inoltre, viene mostrata una schermata fake che mostra la percentuale di completamento dell'aggiornamento di Windows.

A processo ultimato, viene cambiato lo sfondo del desktop a segnalare la presenza dell'infezione e viene mostrato un file di testo con le indicazioni per potersi mettere in contatto con i criminali informatici.

La seconda variante copia sul computer tre diversi file, ma con funzionalità simili a quelle della precedente e in tal caso viene distribuito anche il file Server.exe, mentre la terza variante copia il file Server.exe ma il malware chiamato in causa è quello denominato Neshta.