Analitycy z FortiGuard Labs, podmiotu firmy Fortinet zidentyfikowali nowy wariant ransomware o nazwie Big Head, który pojawił się w maju 2023 roku i zaatakował systemy Windows. Chociaż istnieją co najmniej trzy jego rodzaje, to wszystkie mają na celu wyłudzenie pieniędzy poprzez szyfrowanie plików na komputerach ofiar.
Reklama.
Podobają Ci się moje artykuły? Możesz zostawić napiwek
Teraz możesz docenić pracę dziennikarzy i dziennikarek. Cała kwota trafi do nich. Wraz z napiwkiem możesz przekazać też krótką wiadomość.
Trzy wykryte do tej pory rodzaje Big Head mają na celu wyłudzenie pieniędzypoprzez szyfrowanie plików na komputerach ofiar
Jeden z wariantów szyfruje pliki nawet w 30 sekund.
Za odblokowanie plików cyberprzestępcy wymagają zapłacenia okupu w wysokości 1 bitcoina, czyli ponad 120 tys. złotych.
Większość próbek ransomware (oprogramowania wyłudzającego) Big Head, które analizował zespół FortiGuard Labs, została przesłana ze Stanów Zjednoczonych. Inne oprogramowanie ransomware używane przez tego samego cyberprzestępce było przesłane również z USA oraz krajów europejskich. Analizie zostały poddane warianty określone jako A i B.
Zachęcamy do subskrybowania nowego kanału INN:Poland na YouTube. Od teraz Twoje ulubione programy "Rozmowa tygodnia" i "Po ludzku o ekonomii" możesz oglądać TUTAJ. A wkrótce jeszcze więcej świeżynek ze świata biznesu, finansów i technologii. Stay tuned!
Wariant A szyfruje pliki
Po uruchomieniu wariantu A ransomware Big Head wyświetla fałszywy ekran aktualizacji systemu Windows, aby oszukać użytkowników, że na ich urządzeniu trwają "legalne" procesy, podczas gdy w tle działa złośliwe oprogramowanie.
Fałszywa aktualizacja trwa około 30 sekund i jest automatycznie zamykana. Zanim jednak proces zostanie zakończony, oprogramowanie ransomware zdąży zaszyfrować pliki na zainfekowanych komputerach i losowo zmienić ich nazwy.
Następnie ransomware otwiera notatkę z żądaniem okupu (tzw. ransom note) o nazwie "README_[losowa siedmiocyfrowa liczba].txt", która żąda od ofiar skontaktowania się z atakującym za pośrednictwem poczty e-mail lub aplikacji Telegram w celu odszyfrowania plików.
Zaobserwowano też, że wariant A pozostawia również inną wersję notatki, zawierającą adres Bitcoin atakującego w celu "natychmiastowej zapłaty okupu" w kryptowalucie.
Wariant B – 1 bitcoin za odzyskanie danych
Jak sprawdzili analitycy z FortiGuard Labs, druga odmiana nie zawsze szyfruje pliki. Nie powstrzymuje to jednak wariantu B przed zastąpieniem tapety pulpitu własną, zawierającą notatkę o konieczności zapłacenia okupu. Wygląda podobnie jak w pierwszym wariancie, jednak zawarta jest tutaj informacja o wysokości opłaty okupu, która wynosi jednego Bitcoina, czyli ponad 120 tys. złotych.
Wariant B osobno umieszcza na urządzeniu ofiary notatkę oznaczoną jako "Read Me First!.txt" z taką samą wiadomością o okupie jak tapeta.
Masz propozycję tematu? Chcesz opowiedzieć ciekawą historię? Odezwij się do nas na kontakt@innpoland.pl
Wariant B próbuje również otworzyć stronę atakującego na platformie Github w domyślnej przeglądarce internetowej. Strona jest jednak niedostępna, ponieważ została usunięta lub zamknięta.
Wariant C?
Zespół FortiGuard Labs zidentyfikował również inny wariant oprogramowania ransomware. Na podstawie portfela Bitcoin i adresu e-mail stwierdzono, że był prawdopodobnie używany przez tego samego atakującego.
To oprogramowanie ransomware zostało również przesłane do publicznie dostępnej usługi skanowania plików w maju 2023 r., czyli w tym samym miesiącu, w którym udostępniono wersje A i B ransomware Big Head.
Trzeci analizowany przez FortiGuard Labs wariant ransomware szyfruje pliki i dołącza kontaktowy adres e-mail atakującego do nazw plików. Zastępuje również tapetę pulpitu własną, która zawiera notatkę o konieczności zapłacenia okupu.
Ten typ złośliwego oprogramowania pozostawia również na komputerze ofiary alternatywną notatkę dotyczącą okupu, pod nazwą "read_it.txt".
Jak reagować na ransomware?
Takie instytucje jak CISA (Cybersecurity & Infrastracture Security Agency) czy FBI ostrzegają ofiary ataków ransomware przed płaceniem okupu, ponieważ płatność nie gwarantuje odzyskania plików. Zdaniem reprezentujących organy ścigania autorów porad, opłacanie okupów może również ośmielić przestępców do atakowania większej liczby podmiotów, zachęcić inne instytucje przestępcze do dystrybucji oprogramowania ransomware lub sfinansować potencjalnie nielegalne działania.
Chcąc zminimalizować ryzyko zainfekowania komputera oprogramowaniem ransomware trzeba pamiętać o podstawowych zasadach cyberhigieny, jak nieklikanie w linki w wiadomościach phishingowych czy pobieranie aplikacji tylko z oficjalnych stron producentów. Eksperci przypominają też, że incydenty związane z naruszeniem cyberbezpieczeństwa można zgłaszać na stronie CERT.
Bezpieczeństwo dotyczy także naszych telefonów. O pewnych podstawowych zasadach przypomina Konrad Bagiński.
Czytaj także:
Czy używanie cztero- lub sześciocyfrowego kodu PIN w telefonie komórkowym jest bezpieczne? Niekoniecznie. Specjaliści od bezpieczeństwa i naukowcy od dawna ostrzegają, że mnóstwo ludzi wybiera kody, które dziecinnie łatwo odgadnąć.
