“大头”勒索软件三宗罪：伪装Windows更新、勒索、开后门

2023-07-27   

近日，瑞星威胁情报中心捕获一个名为“大头”的勒索软件，该勒索软件不仅会加密用户磁盘文件，还会安装开源的窃密程序，进行文件窃取、图片截屏、目录检索、上传或下载文件等恶意行为。

近日，瑞星威胁情报中心捕获一个名为“大头”的勒索软件，该勒索软件不仅会加密用户磁盘文件，还会安装开源的窃密程序，进行文件窃取、图片截屏、目录检索、上传或下载文件等恶意行为。现瑞星发布“大头”勒索软件独家免费解密工具，以帮助被加密用户解密受害文件。（下载地址：http://download.rising.com.cn/for_down/rsdecrypt/BigHeadRansomDecrypt.exe）

图：“大头”勒索软件解密工具

伪装成Windows更新或Word安装程序加密文件

瑞星安全专家介绍，“大头”勒索软件最早发现自2023年5月，该勒索软件使用.NET编写，结合了Power Shell脚本来共同完成攻击，至今已出现多个变种。通过分析发现，“大头”勒索软件疑似伪装成虚假的Windows更新或Word安装程序，诱导受害者下载并进行传播。其启动后会遍历所有磁盘，修改受害者屏幕壁纸，并释放勒索信，加密特定文件，在加密完成后弹出Windows PowerShell凭证请求，提示受害者如果需要解密，可通过邮箱联系。

图：“大头”勒索软件加密后释放的勒索信

图：被勒索软件修改后的屏幕壁纸

下载后门程序窃取数据

值得注意的是，“大头”勒索软件在进行加密的同时，还会在受害者电脑上下载并安装开源的窃密后门软件——WorldWind Stealer。该后门软件常被用于进行文件和数据资料的窃取，会收集受害者电脑内文件、图片、音频、主机软硬件版本、浏览器等各类信息，回传给攻击者。

在《2022年中国网络安全报告》中，瑞星安全专家就已对未来勒索软件进行过预测分析：勒索攻击者为了更好地保障自身利益，在攻击过程中会将数据窃取作为辅助手段，一旦勒索不成功，便可以通过售卖数据以牟取利益。

独家解密工具：

由于“大头”勒索软件使用了开源对称算法的文件加密程序，因此经过瑞星安全专家的技术分析发现，被加密的文件是能够进行解密恢复的。同时瑞星发布免费解密工具，具体使用方法如下：

图：“大头”勒索软件解密工具

第一步，点击【选择路径】按钮，找到要解密的文件夹目录随后点击确定。

此时中间的文本框中将会展示要解密的文件夹路径。

第二步，点击【开始解密】按钮，对文件夹内被加密的文件进行解密，解密完成时提示完成解密的文件数量。

解密不会删除原始文件，完成解密后的文件将恢复原本的后缀格式。

解密前后数据效果展示：

预防措施：

由于勒索软件不再只是进行加密勒索攻击，而趋于窃取、售卖数据获利，因此无论是个人还是企业用户，都应提高警惕，加强防范。

1. 部署网络安全态势感知、预警系统等网关安全产品。

网关安全产品可利用威胁情报追溯威胁行为轨迹，帮助用户进行威胁行为分析、定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，帮助企业更快响应和处理。

2. 安装有效的杀毒软件，拦截查杀恶意文档和木马病毒。

杀毒软件可拦截恶意文档和木马病毒，如果用户不小心下载了恶意文件，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。目前，瑞星旗下产品已可查杀“大头”勒索软件和相关窃密程序，广大用户可安装使用。

图：瑞星ESM防病毒终端安全防护系统查杀勒索软件与窃密程序