لوگوی ارتباط افزار افق
منو
بستن
۰۲۱۹۱۳۰۵۹۷۹
٠٩٠٢٦٣٤٩٦١٦

باج افزار Big Head صفحه جعلی آپدیت ویندوز نشان می‌دهد

باج افزار Big Head

فهرست مطالب

Big Head

باج افزار جدید به نام Big Head در حال انتشار از طریق تبلیغات جعلی در سطح اینترنت می‌باشد و به شکل آپدیت های جعلی ویندوز و نصب کننده word عمل می‌کند. این باج افزار یک ماه قبل توسط FortiGaurd Labs شناسایی شده و ظاهرا چندین نمونه دیگر نیز از آن وجود دارد و هدف آن همانند مابقی باج افزارها، رمزگذاری فایلهای قربانی و باج گیری در ازای بازگردانی آنهاست.

یکی از نمونه‌های مشاهده شده بدافزار Big Head به شکل آپدیت جعلی ویندوز می‌باشد و نمونه دیگری از آن نیز شناسایی شده که دارای آیکون word می‌باشد. نمونه‌های شناسایی شده بیشتر مربوط به کشورهای ایالات متحده آمریکا، اسپانیا، فرانسه و ترکیه می‌باشند.

عملکرد باج افزار Big Head

باج افزارBig Head  یک فایل باینری .NET می‌باشد که سه فایل رمزگذاری شده را بروی سیستم قربانی نصب می‌کند. این فایل‌ها وظیفه انتشار باج افزار(1.exe)، ارتباط با ربات تلگرامی(archive.exe) و رمزگذاری فایلها و همچنین نمایش آپدیت جعلی را به عهده دارند(Xarch.exe). در زمان اجرا، این باج افزار کلید‌های رجیستری برای اجرای خودکار خود می‌سازد، ویژگی‌های فایل سیستم را تغییر داده و همچنین task manager را نیز غیرفعال می‌کند.

فرآیند باج افزار bighead

صفحه آپدیت ویندوز برای فریب کاربران طراحی شده که دقیقا به شکل صفحه آپدیت ویندوز می‌باشد. در طول نمایش این صفحه آپدیت جعلی 100 ثانیه ای، باج افزار اقدام به حذف کردن shadow copy و متوقف کردن پردازه‌های مختلف می‌کند و همچین توانایی تشخیص محیط مجازی و سندباکس را نیز دارد. این بدافزار با غیر فعال کردن Task Manager  مانع از متوقف کردن پروسه آن توسط یوزر می‌شود. باج افزار Big Head در صورتی که زبان سیستم عامل یکی از گزینه های روسی، بلاروسی، اوکراینی، قزاقی، قرقیزستان، ارمنی، گرجی، تاتار و ازبکی باشد از انجام عملیات رمزگذاری سر باز می‌زند و با استفاده از قابلیت از بین بردن خود از سیستم قربانی پاک می‌شود.

باج افزار پس از استقرار بروی سیستم قربانی، یک آی دی منحصر به فرد به آن اختصاص می‌دهد، این آی دی یک رشته متنی 40 کاراکتری می‌باشد. فایلهای رمز شده توسط آن دارای پسوند .poop خواهند بود. لیست پسوندهایی که توسط این باج افزار رمزگذاری میشود همانند تصویر زیر می‌باشد:

bighead

Big Head پروسه‌های زیر را جهت جلوگیری از دخالت در فرآیند رمزگذاری و آزاد کردن فایل‌هایی که قرار است رمزگذاری شود؛ متوقف می‌کند. مسیر های Windows, Recycle Bin, Program Files, Temp, Program Data, Microsoft, و  App Data در فرآیند رمزگذاری کنار گذاشته می‌شوند تا مشکلی در عملکرد سیستم عامل ویندوز رخ ندهد. پس از تکمیل عملیات رمزگذاری فایل rasom (یا همان متن تهدید و اخاذی) در چندین پوشه کپی می‌شود و همچنین تصویر زمینه نیز به تصویر زیر تغییر داده می‌شود.

big head این پردازه ها را متوقف می کند
big head ransom

نسخه های دیگر Big Head

دو نسخه دیگر نیز از این باج گیر شناسایی شده است که نسبت به نسخه اصلی آن دارای تفاوت های کلیدی می‌باشد. نسخه دوم آن علاوه بر ویژگی‌های باج افزاری دارای رفتاری مشابه بدافزارهای سارق اطلاعات می‌باشد و اطلاعات حساس قربانی را می‌دزد. این اطلاعات شامل تاریخچه مرورگر، لیستی از پوشه ها، درایورهای نصب شده، نرم افزارهای در حال اجرا، کلید فعال سازی نرم افزارها و همچنین اسکرین شاتی از صفحه سیستم قربانی می‌باشد.

نسخه سوم شناخته شده آن، دارای یک آلوده کننده فایل به نام Neshta می‌باشد که کدهای مخرب را به درون فایل‌های اجرایی سیستم قربانی تزریق می‌کند. با اینکه هدف از این فرآیند ناشناخته می‌باشد ولی متخصصان عقیده دارند که این عملیات جهت از بین بردن احتمال شناسایی توسط سیستم‌های تشخیص براساس امضای فایل می‌باشد.

نتیجه آنالیز‌های انجام گرفته بروی این باج افزار نشان دهنده آن است که با نوع پیچیده و پیشرفته‌ای از باج افزارها روبه رو نیستیم. الگوریتم‌های استفاده شده برای رمزگذاری توسط آن، بسیار معمول بوده و از روش جلوگیری از شناسایی خاصی هم بهره نمی‌برد و به راحتی قابل شناسایی است.آنچه که به نظر میرسد، این باج افزار، افرادی که به سادگی فریب می‌خورند را هدف قرار داده است و به طور کلی افرادی در خصوص امنیت سایبری اطلاعات کمی دارند در دام آن خواهند افتاد.

این باج افزار با اینکه از تکنیک منحصر به فردی در خصوص رمزگذاری فایل‌ها استفاده نمی‌کند، با توجه به روش انتشار آن که عموما از طریق لینک‌های تبلیغاتی جعلی می‌باشد؛ ممکن است توجه هر کسی را به خودش جلب کند و کاربران ناآگاه را دام خود بیندازد. لذا کماکان توجه به توصیه‌های امنیت سایبری در خصوص باج افزارها و اتخاذ تمهیدات لازم در برابر آن اکیدا توصیه می‌شود.

0 دیدگاه

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *