Ранее в этом году сообщения о новом семействе программ-вымогателей, получивших название Big Head, появились в Интернете в различных базах данных вредоносных программ. Это вредоносное ПО распространяется через кампании вредоносной рекламы, которые выглядят как обновления Windows и установщики Word, что вызывает беспокойство, поскольку менее опытные пользователи часто становятся жертвами этих атак.
Исследователи Trend Micro начали изучать это вредоносное ПО по мере обнаружения трех его вариантов и опубликовали технический отчет по образцам. Первый пример представляет собой скомпилированный .NET двоичный файл, который устанавливает три последующих исполняемых файла: 1.exe, Archive.exe и Xarch.exe, каждый из которых имеет разные цели.
1.exe внедряется в систему, шифрует файлы с расширением ".poop", создает записку с требованием выкупа и меняет фон рабочего стола жертвы. Archive.exe запускает другой исполняемый файл, который через Telegram устанавливает связь со злоумышленником для выполнения удаленных действий. Xarch.exe устанавливает BXluSsB.exe, еще одну программу-вымогатель, которая шифрует файлы и отображает фальшивое обновление Windows, чтобы вредоносная активность полностью активировалась.
Второй вариант имеет аналогичную активность, но заменяет дополнительный двоичный файл программы-вымогателя на двоичный файл похитителя информации. Это вредоносное ПО, идентифицированное как похититель WorldWind, захватывает историю просмотров, списки каталогов, запущенные процессы, ключи продуктов, сетевые подключения и снимки экрана, и все это отправляется на Telegram злоумышленника.
Третий и последний образец включает вирус Neshta, "предназначенный для заражения и внедрения своего вредоносного кода в исполняемые файлы". Исследователи считают, что это метод отвлечения, чтобы предотвратить срабатывание инструментов, предназначенных для обнаружения программ-вымогателей. Также отмечается, что в этом варианте записка с требованием выкупа и обои отличаются от предыдущих образцов, но содержат схожую информацию.
Хотя между всеми проанализированными вариантами есть заметные различия, исследователи Trend Micro подозревают, что все они созданы одним и тем же разработчиком вредоносного ПО. Trend считает, что это так, потому что все образцы имеют схожие процедуры или структуры в процессе заражения, имеют одинаковые учетные записи электронной почты и Telegram, и имеют схожие строки в коде вредоносного ПО.
К счастью, это вредоносное ПО описывается как "разрабатываемое вредоносное ПО". Это дает антивирусным лабораториям возможность выстроить против него защиту. Тем не менее, это не означает, что это вредоносное ПО не является мощным или потенциально опасным, поэтому следите за тем, что вы загружаете и запускаете на своих устройствах, и не нажимайте на всплывающие окна, если только вы не являетесь причиной их появления.