勒索软件伪装成 Windows 更新，可加密文件、删除备份

图片地址：https://img.ithome.com/newsuploadfiles/2023/7/623b33f8-00b0-4584-9362-376410fcac40.jpg?x-bce-process=image/format,f_auto

IT之家 7 月 10 日消息，近日一种名为“Big Head”的勒索软件正在伪装成 Windows 更新来感染用户的电脑，不仅能加密文件，还能删除备份，这种恶意软件的两个变种已经被安全研究机构 Fortinet 和 Trend Micro 发现并分析。据 Fortinet 安全研究组织 FortiGuard Labs 的研究人员介绍，Big Head 的第一个变种（变种 A）会在感染电脑后显示一个假的 Windows 更新界面，让用户以为电脑正在进行更新。实际上它在后台加密文件，过程大约需要 30 秒。Trend Micro 则揭露了 Big Head 的第二个变种（变种 B），其使用一个名为“cry.ps1”的 PowerShell 文件来加密受感染系统中的文件。更可怕的是，这个变种还能检测电脑是否运行在虚拟环境中，比如 Virtual Box 或 VMware 等，并删除卷影复制服务（VSS）备份，使用户无法恢复数据。IT