Cẩn trọng với loại ransomware mới có khả năng mạo danh thông báo Windows Update

Một loại ransomware mới xuất hiện có tên “Big Head” đang dùng chiêu trò hiển thị thông báo Windows giả mạo để đánh lừa người dùng.

Theo Bleeping Computer, các nhà nghiên cứu bảo mật của công ty an ninh mạng Fortinet đã phát hiện và đang phân tích một chủng loại ransomware mới có tên “Big Head”. Loại phần mềm tống tiền này có khả năng mạo danh các thông báo của Windows Update và trình cài đặt Microsoft Word khiến người dùng dễ mắc bẫy.

Bên cạnh đó, Trend Micro cũng phát hành một báo cáo khác tuyên bố rằng cả hai biến thể của Big Head đều bắt nguồn từ một nhóm tác nhân xấu và chúng đang thử nghiệm các phương pháp tiếp cận khác nhau để tối ưu hóa việc tấn công.

Ransomware mới có khả năng mạo danh cảnh báo Windows Update.

Big Head khi lây nhiễm vào hệ thống sẽ có khả năng tạo khóa tự thực thi trong Registry, ghi đè tệp, thay đổi thuộc tính hệ thống và vô hiệu hóa Task Manager. Mỗi nạn nhân được Big Head gán một ID duy nhất được lấy từ thư mục %appdata%ID hoặc được tạo bằng chuỗi 40 ký tự ngẫu nhiên.

Ngoài ra, nó cũng xóa các bản sao ẩn để ngăn việc khôi phục hệ thống trước khi công việc mã hóa dữ liệu có thể hoàn thành. Big Head sẽ thêm đuôi mở rộng *.poop vào các tệp mà nó mã hóa. Đặc biệt, ransomware này cũng khôn khéo bỏ qua các thư mục như Windows, Recycle Bin, Program Files, Temp, Program Data, Microsoft và App Data để tránh làm cho hệ thống không sử dụng được.

Lời nhắn đòi tiền chuộc của ransomware Big Head.

Trend Micro cho biết Big Head còn có hai biến thể khác với khả năng đặc biệt ít thấy ở các ransomware. Theo đó, biến thể thứ hai vừa duy trì các khả năng mã hóa vừa kiêm cả nhiệm vụ đánh cắp thông tin nhạy cảm trên thiết bị của nạn nhân, gồm có lịch sử duyệt web, danh sách thư mục, trình điều khiển đã cài đặt, các tiến trình đang chạy, key bản quyền và kết nối mạng, đồng thời nó cũng có thể chụp ảnh màn hình.

Biến thể thứ ba có tính năng lây nhiễm tệp được xác định là “Neshta”, có khả năng chèn mã độc vào các tệp thực thi của hệ thống bị tấn công.

Trend Micro nhận xét rằng Big Head không phải là một chủng ransomware quá tinh vi, nhưng nó có khả năng đánh vào lòng tin của người dùng thông qua việc lợi dụng thông báo cập nhật Windows để tấn công. Với nhiều biến thể tồn tại cùng nhau cho thấy những kẻ tạo ra Big Head đang liên tục phát triển và tinh chỉnh phần mềm độc hại để tối ưu các cuộc tấn công tống tiền của chúng.

Nguồn: [Link nguồn]Nguồn: [Link nguồn]