Uwaga na fałszywe aktualizacje systemu Windows – to może być atak ransomware

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Analitycy z FortiGuard Labs, podmiotu firmy Fortinet zajmującego się badaniem i analizą zagrożeń, zidentyfikowali nowy wariant ransomware o nazwie Big Head, który pojawił się w maju 2023 roku i zaatakował systemy Windows. Chociaż istnieją co najmniej trzy jego rodzaje, to wszystkie mają na celu wyłudzenie pieniędzy poprzez szyfrowanie plików na komputerach ofiar.

Większość próbek ransomware Big Head, które analizował zespół FortiGuard Labs, została przesłana ze Stanów Zjednoczonych. Inne oprogramowanie ransomware używane przez tego samego atakującego było przesłane również z USA oraz krajów europejskich.

Inżynierowie z FortiGuard Labs poddali analizie dwa warianty ransomware Big Head, nazwane A i B.

Wariant A szyfruje pliki

Po uruchomieniu wariantu A ransomware Big Head wyświetla fałszywy ekran aktualizacji systemu Windows, aby oszukać użytkowników, że na ich urządzeniu trwają „legalne” procesy, podczas gdy w tle działa złośliwe oprogramowanie.

Fałszywa aktualizacja trwa około 30 sekund i jest automatycznie zamykana. Zanim jednak proces zostanie zakończony, oprogramowanie ransomware zdąży zaszyfrować pliki na zainfekowanych komputerach i losowo zmienić ich nazwy.

Następnie ransomware otwiera notatkę z żądaniem okupu (tzw. ransom note) o nazwie „README_[losowa siedmiocyfrowa liczba].txt”, która żąda od ofiar skontaktowania się z atakującym za pośrednictwem poczty e-mail lub aplikacji Telegram w celu odszyfrowania plików.

Windows – to może być atak ransomware
Ilustracja 1. Notatka z żądaniem okupu umieszczona na urządzeniu ofiary przez wariant A ransomware Big Head

Zaobserwowano też, że wariant A pozostawia również inną wersję notatki, zawierającą adres Bitcoin atakującego w celu „natychmiastowej zapłaty okupu”.

Wariant B – 1 bitcoin za odzyskanie danych

Analizy FortiGuard Labs wykazały, że wariant B oprogramowania Big Head nie zaszyfrował żadnych plików w środowisku testowym, chociaż został do tego zaprojektowany. Jak wynika z badań, w celu uruchomienia szyfrowania plików wykorzystywany jest plik PowerShell o nazwie „cry.ps1”. Jednak w niektórych przypadkach nie trafia on na komputer ofiary i nie dochodzi do zaszyfrowania danych.

Nie powstrzymuje to jednak wariantu B przed zastąpieniem tapety pulpitu własną, zawierającą notatkę o konieczności zapłacenia okupu. Podobnie jak w wariancie A, notatka informuje o potrzebie kontaktu ofiary z atakującym przy użyciu tego samego adresu e-mail lub kanału na Telegramie. Jednak w notatce w wariancie B zawarta jest informacja o wysokości opłaty okupu, która wynosi jednego Bitcoina, czyli ponad 120 tys. zł.

Wariant B osobno umieszcza na urządzeniu ofiary notatkę oznaczoną jako „Read Me First!.txt” z taką samą wiadomością o okupie jak tapeta.

Wariant B próbuje również otworzyć stronę atakującego na platformie Github w domyślnej przeglądarce internetowej. Strona jest jednak niedostępna, ponieważ została usunięta lub zamknięta.

Wariant C?

Zespół FortiGuard Labs zidentyfikował również inny wariant oprogramowania ransomware. Na podstawie portfela Bitcoin i adresu e-mail stwierdzono, że był prawdopodobnie używany przez tego samego atakującego. To oprogramowanie ransomware zostało również przesłane do publicznie dostępnej usługi skanowania plików w maju 2023 r., czyli w tym samym miesiącu, w którym udostępniono wersje A i B ransomware Big Head. Trzeci analizowany przez FortiGuard Labs wariant ransomware szyfruje pliki i dołącza kontaktowy adres e-mail atakującego „poop69new@[usunięto]” do nazw plików. Zastępuje również tapetę pulpitu własną, która zawiera notatkę o konieczności zapłacenia okupu.

Ten typ złośliwego oprogramowania pozostawia również na komputerze ofiary alternatywną notatkę dotyczącą okupu, pod nazwą „read_it.txt”.

Jak reagować na ransomware?

Takie instytucje jak CISA (Cybersecurity & Infrastracture Security Agency) czy FBI ostrzegają ofiary ataków ransomware przed płaceniem okupu, ponieważ płatność nie gwarantuje odzyskania plików. Zdaniem reprezentujących organy ścigania autorów porad, opłacanie okupów może również ośmielić przestępców do atakowania większej liczby podmiotów, zachęcić inne instytucje przestępcze do dystrybucji oprogramowania ransomware lub sfinansować potencjalnie nielegalne działania.

Chcąc zminimalizować ryzyko zainfekowania komputera oprogramowaniem ransomware trzeba pamiętać o podstawowych zasadach cyberhigieny, jak nieklikanie w linki w wiadomościach phishingowych czy pobieranie aplikacji tylko z oficjalnych stron producentów. Eksperci przypominają też, że incydenty związane z naruszeniem cyberbezpieczeństwa można zgłaszać na stronie CERT.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...
Coś dla Ciebie

Wybrane kategorie