Tháng trước, các nhà nghiên cứu bảo mật tại FortiGuard Labs, tổ chức nghiên cứu bảo mật của Fortinet, đã công bố phát hiện của mình về một biến thể ransomware đang lây nhiễm các thiết bị bằng cách ngụy trang thành các bản cập nhật quan trọng của Windows.

Hình ảnh bên dưới hiển thị màn hình Windows Update giả mạo mà phần mềm tống tiền này, có tên là "Big Head", hiển thị khi về cơ bản nó đang mã hóa tất cả các file ở chế độ nền trong khi người dùng đợi PC của họ hoàn tất bản cập nhật Windows được cho là mất khoảng 30 giây.

Biến thể được đề cập ở trên là biến thể đầu tiên của ransomware, được gọi là Variant A. Ngoài ra còn có một biến thể khác gọi là Variant B, sử dụng file PowerShell có tên “ cry.ps1 ” để mã hóa các file của người dùng sa khi xâm nhập.

Sau đó, Trend Micro đã công bố nghiên cứu và phát hiện của riêng mình về Big Head cách đây vài ngày, tiết lộ thêm chi tiết về ransomware này. Công ty phát hiện ra rằng ransomware cũng kiểm tra các môi trường ảo hóa như Virtual Box hoặc VMware, trong số những môi trường khác và thậm chí còn xóa các bản sao lưu Volume Shadow Copy Service (VSS), điều này khiến nó trở lên đáng sợ.