¡Tener cuidado! El ransomware Big Head que parece una actualización de Windows también puede eliminar las copias de seguridad

El mes pasado, los investigadores de seguridad de FortiGuard Labs, la organización de investigación de seguridad de Fortinet, publicaron sus hallazgos sobre una variante de ransomware que infectaba dispositivos disfrazándose de actualizaciones críticas de Windows.

La siguiente imagen muestra la pantalla falsa de actualización de Windows que muestra este ransomware, denominado «Big Head», cuando básicamente está encriptando archivos en segundo plano mientras el usuario espera a que su PC complete la supuesta actualización de Windows. El proceso dura alrededor de 30 segundos.

El mencionado anteriormente es la primera variante del ransomware, conocida como Variante A. También hay otra variante llamada Variante B, que usa un archivo de PowerShell llamado «cry.ps1» para el cifrado de archivos en sistemas comprometidos.

Fortinet dice que es capaz de detectar y proteger contra las siguientes firmas variantes de Big Head:

FortiGuard Labs detecta variantes conocidas de ransomware Big Head con las siguientes firmas AV:

• MSIL/Fantom.R!tr.rescate
• MSIL/Agente.FOV!tr
• MSIL/Kryptik.AGXL!tr
• MSIL/ClipBanker.MZ!tr.rescate

Después de eso, Trend Micro publicó su propia investigación y hallazgos sobre Big Head hace un par de días, descubriendo más detalles sobre el malware. La empresa descubrió que el ransomware también busca entornos virtualizados como Virtual Box o VMware, entre otros, e incluso elimina las copias de seguridad del Servicio de instantáneas de volumen (VSS), lo que lo hace bastante aterrador.

Trend Micro explica:

El ransomware busca cadenas como VBOX, Virtual o VMware en el registro de enumeración de discos para determinar si el sistema está funcionando en un entorno virtual. También busca procesos que contengan la siguiente subcadena: VBox, prl_ (escritorio paralelo), srvc.exe, vmtoolsd.

El malware identifica nombres de procesos específicos asociados con el software de virtualización para determinar si el sistema se está ejecutando en un entorno virtualizado, lo que le permite ajustar sus acciones en consecuencia para un mejor éxito o evasión. También puede proceder a eliminar la copia de seguridad de recuperación disponible utilizando la siguiente línea de comando:


vssadmin delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Trend Micro también analizó un par de muestras más además de la anterior. Las tres muestras y sus características se resumen a continuación:

• La primera muestra incorpora una puerta trasera en su cadena de infección.

• La segunda muestra emplea un espía troyano y/o un ladrón de información.

• La tercera muestra utiliza un infector de archivos.

Puede encontrar más detalles técnicos, así como IOC (indicadores de compromiso) de Big Head en los sitios web de Fortinet y Trend Micro vinculados a las fuentes a continuación.

Fuente: Fortinet vía Trend Micro