Big Head, програма, що швидко поширюється. Вона вражає користувачів Windows, імітуючи легітимні оновлення. Експерти рекомендують проявляти пильність і оновлювати антивірусний захист, оскільки продовжують з’являтися численні різновиди.
Фото: motionarray.com
В Інтернеті швидко поширюється новий вірус. Його назвали Big Head. Він вражає комп’ютери з операційною системою Windows, видаючи себе за оновлення.
Про це повідомили експерти компанії Trend Micro. Big Head під час відкриття на комп’ютері показує екран оновлення Windows. Однак це не оновлення, а вірус, який блокує файли на комп’ютері. Потім він вимагає викуп за їх розблокування.
Експерти зазначають, що все це відбувається менш ніж за хвилину. Зазвичай користувачі не встигають зрозуміти, що відбувається.
Цікаве на тему: Майже 20 розширень для Google Chrome із вірусами — перевірте свій браузер.
При цьому він існує і в ще одній версії — Variant B. Вона також видаляє файли резервних копій зі служби тіньового копіювання VSS. У результаті користувачам стає складно відновити свої дані.
Тому експерти радять користувачам уважно ставитися до того, звідки вони завантажують файли. Вони також рекомендують за можливості використовувати оновлений антивірусний захист.
Деталі
«Один з варіантів програми-здирника One Big Head відображає підроблений Windows Update, що потенційно вказує на те, що програма-здирник також розповсюджувалася як підроблений Windows Update», -— зазначили тоді дослідники Fortinet. «Один з варіантів має іконку Microsoft Word і, ймовірно, поширювався як підроблене програмне забезпечення».
Більшість зразків Big Head поки що надійшла зі США, Іспанії, Франції та Туреччини.
Компанія Trend Micro більш детально розглянула помилку на базі .NET. Він може розгортати три заблоковані файли: 1.exe для поширення помилки, archive.exe для листування через Telegram і Xarch.exe для блокування файлів і показу підробленого оновлення Windows.
«Шкідливе програмне забезпечення відображає підроблений інтерфейс Windows Update, щоб обдурити жертву, змусивши її думати, що шкідлива активність є законним процесом оновлення програмного забезпечення, з відсотком прогресу з кроком в 100 секунд», – зазначили в компанії з кібербезпеки.
Як і інші подібні помилки, Big Head видаляє резервні копії, зупиняє кілька процесів і перевіряє, чи запущений він у віртуальному середовищі, перш ніж заблокувати файли.
Крім того, жучок відключає диспетчер завдань, щоб користувачі не могли завершити або дослідити його процес. Він також самостійно завершує роботу, якщо мова машини відповідає російській, білоруській, українській, казахській, киргизькій, вірменській, грузинській, татарській та узбецькій. Крім того, він має функцію самовидалення.
Trend Micro також виявила другий елемент Big Head, який одночасно поводиться і як жучок. Останній використовує відкрите ПЗ WorldWind Stealer для збору історії веб-браузерів, списків каталогів, запущених процесів, ключів продуктів і мережевої інформації.
Дослідники також виявили третю версію Big Head, що включає файловий інфектор під назвою Neshta. Neshta додає шкідливий код у виконувані файли на зараженому хості.
«Включення Neshta в розгортання програми-здирника також може служити маскуванням кінцевого корисного навантаження Big Head, – відзначають дослідники Trend Micro.
І додали:
«Цей метод може змусити шкідливе програмне забезпечення виглядати як загроза іншого типу, наприклад, вірус, що може змістити пріоритети рішень для забезпечення безпеки, які в першу чергу спрямовані на виявлення програм-вимагачів».
Особа людини, яка створила Big Head, наразі невідома. Однак Trend Micro виявила канал на YouTube із назвою aplikasi premium cuma cuma cuma, що дає змогу припустити його ймовірне індонезійське походження.
«Команди безпеки повинні залишатися готовими до різноманітних функціональних можливостей шкідливого програмного забезпечення», – підсумували дослідники. «Така багатогранна природа надає шкідливому програмному забезпеченню потенціал для заподіяння значної шкоди після того, як воно повністю запрацює, що ускладнює захист систем, оскільки кожен вектор атаки вимагає окремої уваги».
Інші статті на цю тему:
- Новий Android вірус є навіть у Google Play: як захиститися
- Вірус із Telegram краде гроші користувачів Apple: як убезпечити себе
- Під ударом iPhone: вірус Reign два роки шпигував за журналістами та політиками
