In acht nehmen! Big Head-Ransomware, die wie Windows Update aussieht, kann auch Backups löschen

Letzten Monat veröffentlichten Sicherheitsforscher von FortiGuard Labs, der Sicherheitsforschungsorganisation von Fortinet, ihre Ergebnisse zu einer Ransomware-Variante, die Geräte infizierte, indem sie sich als kritische Windows-Updates tarnte.

Das Bild unten zeigt den gefälschten Windows Update-Bildschirm, den diese Ransomware mit dem Namen „Big Head“ anzeigt, wenn sie im Wesentlichen Dateien im Hintergrund verschlüsselt, während der Benutzer darauf wartet, dass sein PC das angebliche Windows-Update abschließt. Der Vorgang dauert etwa 30 Sekunden.

Bei der oben erwähnten handelt es sich um die erste Variante der Ransomware, bekannt als Variante A. Es gibt auch eine weitere Variante namens Variante B, die eine PowerShell-Datei namens „cry.ps1“ zur Dateiverschlüsselung auf kompromittierten Systemen verwendet.

Laut Fortinet ist es in der Lage, die folgenden Big-Head-Variantensignaturen zu erkennen und davor zu schützen:

FortiGuard Labs erkennt bekannte Big Head-Ransomware-Varianten mit den folgenden AV-Signaturen:

• MSIL/Fantom.R!tr.ransom
• MSIL/Agent.FOV!tr
• MSIL/Kryptik.AGXL!tr
• MSIL/ClipBanker.MZ!tr.ransom

Daraufhin veröffentlichte Trend Micro vor ein paar Tagen seine eigenen Untersuchungen und Erkenntnisse zu Big Head und enthüllte weitere Details über die Malware. Das Unternehmen stellte fest, dass die Ransomware auch nach virtualisierten Umgebungen wie Virtual Box oder VMware und anderen sucht und anschließend sogar VSS-Backups (Volume Shadow Copy Service) löscht, was ziemlich beängstigend ist.

Trend Micro erklärt:

Die Ransomware sucht nach Zeichenfolgen wie VBOX, Virtual oder VMware in der Festplattenaufzählungsregistrierung, um festzustellen, ob das System in einer virtuellen Umgebung betrieben wird. Außerdem wird nach Prozessen gesucht, die die folgende Teilzeichenfolge enthalten: VBox, prl_(parallels Desktop), srvc.exe, vmtoolsd.

Die Malware identifiziert spezifische Prozessnamen, die mit Virtualisierungssoftware verknüpft sind, um festzustellen, ob das System in einer virtualisierten Umgebung ausgeführt wird, und ermöglicht es ihr, ihre Aktionen entsprechend anzupassen, um einen besseren Erfolg oder eine bessere Umgehung zu erzielen. Es kann auch mit dem Löschen der verfügbaren Wiederherstellungssicherung fortfahren, indem Sie die folgende Befehlszeile verwenden:


vssadmin delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Trend Micro hat neben der oben genannten auch noch einige weitere Proben analysiert. Die drei Proben und ihre Eigenschaften sind im Folgenden zusammengefasst:

• Die erste Probe enthält eine Hintertür in ihrer Infektionskette.

• Das zweite Beispiel verwendet einen Spionage- und/oder Informationsdieb-Trojaner.

• Das dritte Beispiel verwendet einen Dateiinfektor.

Weitere technische Details sowie IOCs (Indicators of Compromise) von Big Head finden Sie auf den Websites von Fortinet und Trend Micro, die unter den unten aufgeführten Quellen verlinkt sind.

Quelle: Fortinet über Trend Micro