Highlight
Fieser Trojaner zeigt Windows-Update-Fenster an, bis es zu spät ist
Schadsoftware findet auf den unterschiedlichsten Wegen zu seinen Opfern. Nun ist ein ganz perfider Trick bekannt geworden: Die "Big Head"-Erpressungssoftware wird über gefälschte Windows-Updates und Microsoft Word-Installationsprogramme transportiert.
Das Verstecken in angeblich legitimer Software ist dabei natürlich nicht neu. Neu ist allerdings, wie "Big Head" dabei vorgeht. Unter anderem wird die Anzeige des Windows-Update-Prozesses nachgeahmt, während im Hintergrund keine Aktualisierung, sondern die Verschlüsselung des Systems läuft.
Entdeckt hatten dies Sicherheitsforscher von Fortinet. Trend Micro hat dazu nun einen umfassenden Bericht vorgelegt. Demnach gibt es Big Head in drei verschiedenen Varianten, um die Effektivität zu erhöhen. Eine Variante zeigt ein gefälschtes Windows-Update an, was möglicherweise darauf hindeutet, dass die Ransomware auch als gefälschtes Windows-Update-Installationsprogramm verbreitet wurde. Infografik Hacking & Cyberkriminalität: Die größten Datendiebstähle der Welt
Außerdem beendet Big Head verschiedene Sicherheits-Prozesse, um eine Manipulation des Verschlüsselungsprozesses zu verhindern und Daten freizugeben, die von der Malware gesperrt werden sollen.
Die Verzeichnisse "Windows", "Papierkorb", "Programme", "Temp", "Programmdaten", "Microsoft" und "Anwendungsdaten" werden bei der Verschlüsselung übersprungen, um das System nicht unbrauchbar zu machen. Dadurch wird auch die Entdeckung des Erpressungs-Trojaners verzögert. Während der Verschlüsselung zeigt die Ransomware dann einen Bildschirm an, der vorgibt, ein legitimes Windows-Update zu sein. Nach dem Verschlüsselungsvorgangs wird die Lösegeldforderung in mehreren Verzeichnissen abgelegt, und auch der Bildschirmhintergrund des Opfers wird geändert, um auf die Infektion hinzuweisen.
Siehe auch:
Entdeckt hatten dies Sicherheitsforscher von Fortinet. Trend Micro hat dazu nun einen umfassenden Bericht vorgelegt. Demnach gibt es Big Head in drei verschiedenen Varianten, um die Effektivität zu erhöhen. Eine Variante zeigt ein gefälschtes Windows-Update an, was möglicherweise darauf hindeutet, dass die Ransomware auch als gefälschtes Windows-Update-Installationsprogramm verbreitet wurde. Infografik Hacking & Cyberkriminalität: Die größten Datendiebstähle der Welt
Vortäuschen eines Windows-Updates
Eine der Varianten hat ein Microsoft Word-Symbol und wurde wahrscheinlich als gefälschte Software zum Download angeboten. "Big Head" selbst besteht aus einer .NET-Binärdatei, die drei AES-verschlüsselte Dateien auf dem Zielsystem installiert: eine dient zur Verbreitung der Malware, eine weitere zur Kommunikation mit dem Telegram-Bot, und die Dritte verschlüsselt Dateien und kann dem Nutzer außerdem ein gefälschtes Windows-Update anzeigen.Diese Aktionen führt Big Head aus
Einmal gestartet, führt die Ransomware Aktionen wie das Erstellen eines Registrierungsschlüssels, das Überschreiben vorhandener Dateien, das Festlegen von Systemdateiattributen und das Deaktivieren des Task-Managers durch. Dann werden sogenannte Schattenkopien gelöscht, um eine einfache Systemwiederherstellung zu verhindern, bevor die Dateien verschlüsselt und eine ".poop"-Erweiterung an ihre Dateinamen angehängt wird.Außerdem beendet Big Head verschiedene Sicherheits-Prozesse, um eine Manipulation des Verschlüsselungsprozesses zu verhindern und Daten freizugeben, die von der Malware gesperrt werden sollen.
Die Verzeichnisse "Windows", "Papierkorb", "Programme", "Temp", "Programmdaten", "Microsoft" und "Anwendungsdaten" werden bei der Verschlüsselung übersprungen, um das System nicht unbrauchbar zu machen. Dadurch wird auch die Entdeckung des Erpressungs-Trojaners verzögert. Während der Verschlüsselung zeigt die Ransomware dann einen Bildschirm an, der vorgibt, ein legitimes Windows-Update zu sein. Nach dem Verschlüsselungsvorgangs wird die Lösegeldforderung in mehreren Verzeichnissen abgelegt, und auch der Bildschirmhintergrund des Opfers wird geändert, um auf die Infektion hinzuweisen.
Im Fokus stehen Verbraucher
Was ebenfalls interessant ist: Big Head scheint sich auf Verbraucher zu konzentrieren, die mit einfachen Tricks (z. B. gefälschte Windows-Updates) getäuscht werden oder die Schwierigkeiten haben, die notwendigen Schutzmaßnahmen zu verstehen, um sich vor Cyber-Sicherheitsrisiken zu schützen. Man hat es also nicht auf Unternehmen abgesehen. Es gibt aktuell keine Hinweise darauf, wie weit Big Head bereits verbreitet ist.
Zusammenfassung
- "Big Head"-Erpressungssoftware wird über gefälschte Windows-Updates und Microsoft Word-Installationsprogramme verbreitet
- Verstecken in angeblich legitimer Software ist nicht neu, aber Big Head geht anders und komplexer vor
- Drei Varianten, unter anderem gefälschtes Windows-Update
- Dateien werden verschlüsselt und ".poop"-Erweiterung angehängt
- Verzeichnisse "Windows", "Papierkorb", "Programme", "Temp", "Programmdaten", "Microsoft" und "Anwendungsdaten" übersprungen
- Lösegeldforderung und geänderter Bildschirmhintergrund
- Fokus auf Verbraucher, die einfache Tricks leicht übersehen
Siehe auch:
- Microsoft wehrt bisher größte DDoS-Attacke mit 2,4 Terabit/s ab
- Emotet: Malware verbreitet sich nun über OneNote-Dokumente
- Pwn2Own-Wettbewerb deckt mehrere Windows 11 Zero-Day-Lücken auf
- Nach großem DDoS: Hersteller der Botnetz-Router verzweifelt an Usern
- Größter DDoS-Angriff in der "russischen Internetgeschichte" auf Yandex
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen