気をつけて！Windows Update に似た Big Head ランサムウェアはバックアップも削除する可能性がある

先月、フォーティネットのセキュリティ研究組織である FortiGuard Labs のセキュリティ研究者は、重要な Windows アップデートを装ってデバイスに感染するランサムウェアの亜種に関する調査結果を発表しました。

下の画像は、「Big Head」と呼ばれるこのランサムウェアが、ユーザーが PC の Windows アップデートが完了するのを待っている間、基本的にバックグラウンドでファイルを暗号化しているときに表示される偽の Windows Update 画面を示しています。このプロセスには約 30 秒かかります。

上記のものは、バリアント A として知られるランサムウェアの最初の亜種です。また、バリアント B と呼ばれる別の亜種もあり、これは侵害されたシステムでのファイル暗号化に「cry.ps1」という名前の PowerShell ファイルを使用します。

フォーティネットは、次の Big Head 亜種のシグネチャを検出して保護できると述べています。

FortiGuard Labs は、次の AV シグネチャを持つ既知の Big Head ランサムウェアの亜種を検出します。

• MSIL/Fantom.R!tr.ransom
• MSIL/エージェント.FOV!tr
• MSIL/Kryptik.AGXL!tr
• MSIL/ClipBanker.MZ!tr.ransom

その後、トレンドマイクロは数日前に Big Head に関する独自の調査結果を発表し、マルウェアの詳細を明らかにしました。同社は、このランサムウェアが Virtual Box や VMware などの仮想化環境もチェックし、ボリューム シャドウ コピー サービス (VSS) のバックアップを削除することさえあることを発見しました。これは非常に恐ろしいものです。

トレンドマイクロは次のように説明しています。

ランサムウェアは、ディスク列挙レジストリ内の VBOX、Virtual、VMware などの文字列をチェックして、システムが仮想環境内で動作しているかどうかを判断します。また、VBox、prl_(Parallel のデスクトップ)、srvc.exe、vmtoolsd の部分文字列を含むプロセスもスキャンします。

このマルウェアは、仮想化ソフトウェアに関連付けられた特定のプロセス名を識別して、システムが仮想化環境で実行されているかどうかを判断し、それに応じて動作を調整してより成功または回避できるようにします。次のコマンド ラインを使用して、利用可能な回復バックアップの削除に進むこともできます。


vssadmin delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

トレンドマイクロは、上記以外にもいくつかのサンプルを分析しました。3 つのサンプルとその特徴を以下にまとめます。

• 最初のサンプルには、感染チェーンにバックドアが組み込まれています。

• 2 番目のサンプルでは、​​トロイの木馬スパイや情報窃取者が使用されています。

• 3 番目のサンプルでは、​​ファイル感染者を利用します。

Big Head の技術的な詳細と IOC (侵害の痕跡) は、以下のソースにリンクされているフォーティネットおよびトレンドマイクロの Web サイトで見つけることができます。

出典: Fortinet （トレンドマイクロ経由）