勒索軟件偽裝成 Windows 更新，可加密文件、刪除備份

IT之家 7 月 10 日消息，近日一種名為“Big Head”的勒索軟件正在偽裝成 Windows 更新來(lái)感染用戶的電腦，不僅能加密文件，還能刪除備份，這種惡意軟件的兩個(gè)變種已經(jīng)被安全研究機(jī)構(gòu) Fortinet 和 Trend Micro 發(fā)現(xiàn)并分析。

據(jù) Fortinet 安全研究組織 FortiGuard Labs 的研究人員介紹，Big Head 的第一個(gè)變種（變種 A）會(huì)在感染電腦后顯示一個(gè)假的 Windows 更新界面，讓用戶以為電腦正在進(jìn)行更新。實(shí)際上它在后臺(tái)加密文件，過(guò)程大約需要 30 秒。

Trend Micro 則揭露了 Big Head 的第二個(gè)變種（變種 B），其使用一個(gè)名為“cry.ps1”的 PowerShell 文件來(lái)加密受感染系統(tǒng)中的文件。更可怕的是，這個(gè)變種還能檢測(cè)電腦是否運(yùn)行在虛擬環(huán)境中，比如 Virtual Box 或 VMware 等，并刪除卷影復(fù)制服務(wù)（VSS）備份，使用戶無(wú)法恢復(fù)數(shù)據(jù)。

IT之家小伙伴可以在 Fortinet 和 Trend Micro 網(wǎng)站上找到更多技術(shù)細(xì)節(jié)以及 Big Head 的 IOC（妥協(xié)指標(biāo)）。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。