Se han descubierto nuevos datos sobre Big Head, el virus de tipo ramsonware que se camufla como una actualización crítica de Windows . Los nuevos hallazgos indican que el malware busca entornos virtuales y elimina copias de seguridad.

Pantalla azul, tipografía de Microsoft, nada hace sospechar que lo que estás instalando es un virus, un potente ransomware capaz de llegar al último rincón de tu ordenador, incluso si tienes un sistema virtual. 

Según el nuevo estudio de Trend Micro, recogido por Neowin, el virus conocido como Big Head, se dividía en 2 familias que compartían un correo electrónico de contacto común en sus notas de rescate, lo que les llevó a sospechar que “las dos variantes diferentes se originaron en el mismo desarrollador de malware”. Fue la punta del iceberg.

Una cadena de infección, un troyano que da el control desde Telegram o el virus que camufla los archivos, hasta tres son las muestras que han estudiado los investigadores. Cada una cumple una función, ya sea la infección, el robo de información y control externo, el camuflaje, etc.

Microsoft Defender sobresale entre los mejores antivirus de Windows pero tiene un serio problema

Big Head y su entorno de malware crea claves de registro, verifica la existencia de un archivo y lo sobrescribe si es necesario, configura los atributos del archivo del sistema y crea entradas de registro de ejecución automática entre muchas otras funciones maliciosas, todo camuflado como actualización de Windows.

Como curiosidad e hipótesis de la procedencia del virus, el malware se autodestruye si el idioma del sistema del usuario coincide con los códigos de país ruso, bielorruso, ucraniano, kazajo, kirguís, armenio, georgiano, tártaro o uzbeko. Además, también desactiva el Administrador de Tareas para impedir que los usuarios terminen o investiguen su proceso.

TrendMicro sospecha de un canal de YouTube y un usuario en Telegram

Además de la dirección de correo electrónico específica para unir todas las muestras del ransomware Big Head, las notas de rescate de las muestras tendrían la misma billetera bitcoin, en la que Trend Micro ha verificado movimientos en 2022.

Los investigadores han encontrado información relevante como el posible usuario de Telegram utilizado por el desarrollador de malware y una cuenta de YouTube con videos dónde se hacen demostraciones del malware. 

Para evitar ser infectado por malware como Big Head, se recomienda evitar descargar y ejecutar archivos de origen desconocido,  y tocar en enlaces de dudosa procedencia. Además hay que actualizar el ordenador, controladores y sistema operativo regularmente, y siempre que sea posible además de contar con un antivirus confiable.