新兴勒索病毒“Big Head”可能带来重大危害

关键要点

• 新发现的勒索病毒“Big Head”具有潜在的高危害性，可能在全面运作后对系统造成严重损害。
• 该病毒存在三种不同的版本，开发者似乎具有一定的经验，但尚未展现出高度的复杂性。
• Big Head通过假冒微软广告进行传播，诱导用户下载恶意软件。
• 研究人员发现了一些导致其开发者身份的线索。
• 及早发现该病毒为安全研究人员提供了重要优势，可以制定相应的对策。

据研究人员称，一种新兴的勒索病毒变种“Big Head”有可能“一旦全面运作，将造成重大伤害”。

此病毒上个月首次被报道，经过多种不同版本的分析后，研究人员对其多样化和多功能性表示担忧，认为这将使得其在进一步开发后更难以应对。

根据发布的报告，尽管目前尚无证据表明BigHead已被成功利用，但其开发者显然具有一定的从业经验，尽管可能不是非常复杂的威胁行为者。

研究人员Ieriz Nicolle Gonzalez、Katherine Casona和Sarah Pearl Camiling表示：“BigHead具有多样化的功能，包括窃取器、感染工具及勒索软件样本。这种多面性使得这种恶意软件在全面运作后有潜在的重大危害性，从而使得防御系统变得更加具有挑战性，因为每种攻击路径都需要单独关注。”

假微软广告作为诱饵

Trend Micro的研究人员怀疑，他们分析的三种不同样本都是通过进行传播，这些广告假冒Windows更新和Word安装程序。

“该恶意软件显示一个虚假的Windows更新界面，以欺骗受害者认为恶意活动是一个合法的软件更新过程，”他们写道。

其中一个BigHead样本还提供了三个二进制文件，这些文件会在目标系统上执行多种功能，包括加密文件、部署与威胁行为者聊天机器人ID通信的Telegram机器人、显示虚假的Windows更新界面，以及将赎金说明作为ReadMe文件和壁纸进行安装。

负责Telegram机器人的可执行文件teleratserver.exe是一个64位的Python编译的二进制文件，它接受“start”、“help”、“screenshot”和“message”等命令，以便通过该消息应用程序在受害者和威胁行为者之间进行通信。

另一种Big Head样本则包含了额外的数据盗取功能。它部署了WorldWindStealer恶意软件，收集一系列数据，包括所有可用浏览器的浏览历史、目录和运行进程的列表、驱动程序的副本以及执行恶意软件后的屏幕截图。

第三个样本包含了Neshta，这是一种分发病毒的恶意软件，会向可执行文件中插入恶意代码。

研究人员表示：“将Neshta纳入勒索软件的投放也可以作为最终BigHead勒索软件有效载荷的伪装技巧。这种技术可以使恶意软件看起来像是其他类型的威胁，如病毒，这可能会转移重点安全解决方案的检测，这些解决方案主要集中在检测勒索软件。”

对恶意软件创建者的线索

虽然Big Head背后的团体身份仍然是个谜，TrendMicro发现了一些细节，包括一个看似由威胁行为者运营的YouTube频道，以及一个Telegram用户名。

如果潜在目标的系统语言与俄罗斯、白俄罗斯、乌克兰、哈萨克斯坦、吉尔吉斯斯坦、亚美尼亚、格鲁吉亚、鞑靼或乌兹别克斯坦的国家代码匹配，该恶意软件会自行终止，这表明威胁行为者可能与前苏联国家有联系，这些国家如今联合成[独立国家联合体](https://www.scworld.com/analysis/ransomware/ransomware