Neue Ransomware täuscht Windows Update vor

Sicherheitsforscher haben kürzlich eine neue Ransomware namens "Big Head" entdeckt, die sich als vermeintlich legitime Software tarnt - an sich keine neue Taktik, doch die Vorgehensweise macht Big Head zu einer gefährlichen Malware. Zudem richte sich die Schadsoftware primär an Privatkunden und Laien, die im Hinblick auf die IT-Sicherheit weniger genau geschult sind. Dies berichtet die Sicherheitsexperten von Fortinet in einem Blogeintrag.

Laut dem Bericht gibt es drei verschiedene Varianten von Big Head, die darauf abzielen, ihre Effektivität zu steigern. Eine Variante gibt sich als gefälschtes Windows-Update aus, was darauf hindeuten könnte, dass die Ransomware auch als vermeintliches Windows-Update-Installationsprogramm verbreitet wurde. Big Head tarnte sich auch als Word-Programm, was wiederum auf weitere Softwarefälschungen schließen lässt.

Grundsätzlich besteht die Big-Head-Malware aus einer .NET-Binärdatei, welche insgesamt drei AES-verschlüsselte Dateien installiert. Bei diesen handelt es sich um Dateien zur weiteren Verbreitung, der Kommunikation mit dem Telegram-Bot und dem eigentlichen Verschlüsseln der Systemdateien. Nach dem sich die Malware einnisten konnte, werden diverse Maßnahmen durchgeführt: Zu diesen zählen das Erstellen eines Registrierungsschlüssels, Überschreiben vorhandener Dateien oder die Deaktivierung des Task-Managers.

Zuvor angelegte Sicherungskopien werden ebenfalls gelöscht, um eine Wiederherstellung des Systems zu verhindern. Zusätzlich werden weitere Sicherheitsprozesse beendet und deren Reaktivierung verhindert. Bei all diesen Prozessen wird eine Attacke auf bestimmte Verzeichnisse wie "Windows", "Programme" oder "Appdata" vermieden, um das betroffene System nicht gänzlich unbrauchbar zu machen sowie eine mögliche Erkennung hinauszuzögern. Im Anschluss werden verschiedene Lösegeldforderungen an die Betroffenen ausgespielt, wollen diese ihr System wieder freigegeben bekommen.