Un nouveau type de ransomware a été découvert par les chercheurs en sécurité de FortiGuard Labs. Il vise les utilisateurs de Windows. Surnommé Big Head, il simule l’activité de Windows Update pour éviter d’être détecté.
Les chercheurs indiquent qu’il existe différentes variantes. L’attaque cible les utilisateurs de Windows. En cas d’infection, il chiffre l’ensemble des fichiers du système puis demande une rançon pour le déchiffrement.
Une variante prend la forme d’une mise à jour pour Windows. Une fois exécuté, l’écran « Configuration des mises à jour Windows critiques » s’affiche durant 30 secondes. Il se ferme automatiquement après que le ransomware soit parvenu à chiffrer un grand nombre de fichiers. Les noms de fichiers sont modifiés aléatoirement selon les chercheurs. Ensuite une demande de rançon est lancée. L’utilisateur est sollicité afin de prendre contact par e-mail ou Telegram.
L’objectif est de payer une certaine somme d’argent afin de retrouver l’accès aux fichiers chiffrés en utilisant des instructions.
De son coté l’équipe de recherche de Trend Micro propose des détails techniques sur cette famille Big Head. Le ransomware s’appuie sur trois fichiers exécutables : 1.exe, archive.exe et Xarch.exe.
Ce logiciel malveillant cible certaines régions seulement. Nous pouvons citer l’Allemagne, les États-Unis, l’Italie, la France, la Belgique, l’Espagne, la Suède, la Turquie et une dizaines d’autres pays.
Pour le moment le mode de distribution n’est pas bien compris. Une variante a pris la forme d’une icône Word, ce qui pourrait indiquer une distribution en tant que fausse application. L’une des bonnes nouvelles est que Big Head n’est pas très répandu pour le moment. Certaines solutions antivirus et de sécurité sont déjà capables d’assurer une protection contre ses attaques.
