Il ransomware “Big Head” “Big Head” è stato documentato per la prima volta da Fortinet FortiGuard Labs il mese scorso, quando ha scoperto diverse varianti del ransomware progettate per criptare i file sulle macchine delle vittime in cambio di un pagamento in criptovaluta. “Una variante del ransomware Big Head mostra un falso aggiornamento di Windows, indicando potenzialmente che il ransomware è stato distribuito anche come un falso aggiornamento di Windows”, hanno affermato i ricercatori di Fortinet.
Distribuzione e funzionamento del ransomware
La maggior parte dei campioni di “Big Head” sono stati inviati finora dagli Stati Uniti, dalla Spagna, dalla Francia e dalla Turchia. In un’analisi del ransomware basato su .NET, Trend Micro ha dettagliato il suo funzionamento interno, evidenziando la sua capacità di distribuire tre binari criptati: 1.exe per propagare il malware, archive.exe per facilitare le comunicazioni su Telegram e Xarch.exe per criptare i file e mostrare un falso aggiornamento di Windows.
Caratteristiche del ransomware
“Big Head” non è diverso da altre famiglie di ransomware in quanto elimina i backup, termina diversi processi e esegue controlli per determinare se è in esecuzione all’interno di un ambiente virtualizzato prima di procedere alla crittografia dei file. Inoltre, il malware disabilita il Task Manager per impedire agli utenti di terminare o indagare sul suo processo e si interrompe se la lingua della macchina corrisponde a quella russa, bielorussa, ucraina, kazaka, kirghisa, armena, georgiana, tatara e uzbeka. Incorpora anche una funzione di auto-eliminazione per cancellare la sua presenza.