Một phần mềm tống tiền mới có tên là "Big Head" đang được phân phối như một phần của chiến dịch quảng cáo độc hại dưới dạng các bản cập nhật Microsoft Windows và trình cài đặt Word giả mạo.
Big Head lần đầu tiên được ghi nhận bởi Fortinet FortiGuard Labs vào tháng trước, khi nó được phát hiện thì đã có nhiều biến thể được thiết kế để mã hóa các tệp trên máy của nạn nhân để tống tiền.
Một biến thể của nó hiển thị như một bản cập nhật Windows giả mạo. Một biến thể khác lại có biểu tượng Microsoft Word và có khả năng được phân phối dưới dạng phần mềm giả mạo.
Phần lớn các mẫu này được phát hiện tại Hoa Kỳ, Tây Ban Nha, Pháp và Thổ Nhĩ Kỳ.
Theo phân tích của Trend Micro, Big Head là một phần mềm độc hại dựa trên .NET có thể triển khai ba tệp nhị phân được mã hóa: 1.exe để tải phần mềm độc hại, archive.exe để tạo kênh liên lạc qua Telegram và Xarch.exe để mã hóa các tệp và hiển thị bản cập nhật Windows giả mạo.
 |
| Ảnh: Trend Micro |
Công ty an ninh mạng cho biết: "Big Head hiển thị giao diện người dùng Windows Update giả mạo để đánh lừa nạn nhân nghĩ rằng đây là một quy trình cập nhật phần mềm hợp pháp, với tỷ lệ phần trăm tiến trình tăng dần trong 100 giây."
Big Head không khác gì các phần mềm tống tiền khác, kiểm tra để xác định xem nó có chạy trong môi trường ảo hóa hay không trước khi xóa các bản sao lưu, chấm dứt một số quy trình và tiến hành mã hóa các tệp.
Ngoài ra, nó sẽ vô hiệu hóa Trình quản lý tác vụ để ngăn người dùng chấm dứt hoặc điều tra quy trình của nó và tự hủy bỏ nếu ngôn ngữ của máy khớp với ngôn ngữ của tiếng Nga, Belarus, Ukraine, Kazakhstan, Kyrgyzstan, Armenia, Georgia, Tatar và Uzbek. Nó cũng kết hợp chức năng tự xóa để xóa dấu vết của nó.
Ngoài ra cũng đã phát hiện ra biến thể thứ 3 của Big Head tích hợp với khả năng lây nhiễm dùng để chèn mã độc vào các file thực thi trên máy bị nhiễm.
Việc kết hợp Neshata vào quá trình lây nhiễm đóng vai trò ngụy trang cho bước cuối cùng của Big Head. Theo nghiên cứu của Trend Micro.
Kỹ thuật này làm cho phần mềm độc hại xuất hiện như một vi-rút, có thể làm chuyển hướng ưu tiên các giải pháp bảo mật khác thay vì tập trung vào phát hiện ransomware.
Hiện tại chưa phát hiện ra người tạo Big Head, nhưng Trend Micro nói nó được nhận dạng như một kênh YouTube với tên "aplikasi premium cuma cuma", cho rằng người tạo ra đến từ Indonesia.
Các nhà nghiên cứu kết luận: "Các nhóm bảo mật nên chuẩn bị sẵn sàng với các chức năng đa dạng của phần mềm độc hại." Bản chất đa dạng chức năng này mang lại khả năng gây ra tác hại đáng kể khi phần mềm độc hại hoạt động đầy đủ, khiến việc bảo vệ hệ thống chống lại trở nên khó khăn hơn vì mỗi chức năng cần được chú ý riêng.
Dưới đây là một số mẹo để bảo vệ bạn khỏi Big Head và các loại ransomware khác:
- Cập nhật phần mềm của bạn thường xuyên.
- Sử dụng phần mềm chống vi-rút và tường lửa.
- Cẩn thận với các email và trang web mà bạn truy cập.
- Không mở các tệp đính kèm email từ những người mà bạn không biết.
- Không cài đặt phần mềm từ các nguồn không đáng tin cậy.
- Sao lưu dữ liệu của bạn thường xuyên.
Nếu bạn tin rằng máy tính của bạn đã bị nhiễm ransomware, hãy tắt máy tính và liên hệ với nhóm bảo mật của bạn.
Bài viết được tham khảo từ DSH, Trend Micro.
0 Nhận xét