I ricercatori di Trend Micro hanno individuato e analizzato una nuova famiglia di ransomware chiamata “Big Head”. Le prime attività del ransomware, di cui al momento esistono tre varianti, risalgono allo scorso maggio. Tutte e tre le versioni del ransomware vengono distribuite tramite pubblicità malevola, fingendosi aggiornamenti di Windows o installer per Word. Dall’analisi di Trend Micro è emerso che il ransomware, nella sua versione “base”, installa tre file sul sistema: il primo, chiamato “1.exe”, contiene una copia del malware e viene usato per propagarlo nella rete di dispositivi; il secondo, “Archive.exe”, è un bot Telegram usato per stabilire la connessione con gli attaccanti; infine, “Xarch.exe” si occupa di cifrare i file del sistema e di mostrare una schermata di aggiornamento finta per far credere all’utente che il processo sia legittimo. All’interno del file 1.exe è presente anche una nota di riscatto dove è scritto l’indirizzo email da contattare per negoziare il pagamento. Il ransomware, concluso il processo di cifratura, modifica anche lo sfondo del desktop della vittima impostando un’immagine con le indicazioni su contatti e pagamenti.
Fonte: Securityinfo.it