Перейти к содержимому


Фото
- - - - -

Новый метод/способ шифрования?


  • Закрыто Тема закрыта
11 ответов в этой теме

#1 Lvenok

Lvenok

    Massive Poster

  • Beta Testers
  • 2 644 Сообщений:

Отправлено 26 Май 2020 - 16:57

Собственно прочитал тут [url="https://xakep.ru/2020/05/25/ragnarlocker-vm/?amp
Специалисты компании Sophos обнаружили, что операторы малвари Ragnar Locker используют Oracle VirtualBox и виртуальные машины с Windows XP, чтобы скрыть свое присутствие в зараженной системе и запустить вымогателя в «безопасной» среде, недоступной для локального антивирусного ПО.
...
Вымогатель Ragnar Locker использует виртуальные машины для сокрытия своих действий.

Вместо того, чтобы запускать малварь непосредственно на самом компьютере, который нужно зашифровать, хакеры загружают и устанавливают Oracle VirtualBox. Затем злоумышленники настраивают виртуальную машину таким образом, чтобы предоставить ей полный доступ ко всем локальным и общим дискам, а также позволяя взаимодействовать с файлами, расположенными вне ее собственного хранилища.

В итоге на зараженной машине осуществляется загрузка виртуальной машины с урезанной версией Windows XP SP3, которая называется MicroXP v0.82. Затем внутри ВМ загружается и запускается и сам Ragnar Locker. Исследователи отмечают, что в итоге полезная нагрузка атаки — это установщик объемом 122 Мб и виртуальный образ, размером 282 Мб. И все это для сокрытия исполняемого файла малвари размером 49 Кб. ­

Так как вымогатель и его процесс vrun.exe работают внутри виртуальной машины, антивирусное ПО оказывается не в силах его обнаружить. С точки зрения антивируса, файлы в локальной системе и на общих дисках внезапно заменяются зашифрованными версиями, но все модификации исходят от легитимного процесса VboxHeadless.exe, то есть за все это ответственно приложение VirtualBox.

­Эксперты Sophos отмечают, что впервые видят шифровальщика, который использует виртуальные машины.
«В последние несколько месяцев мы наблюдали развитие вымогателей по нескольким направлениям. Но операторы Ragnar Locker выводят вымогатели на новый уровень и мыслят крайне нестандартно», — пишут специалисты.

Сообщение было изменено Lvenok: 26 Май 2020 - 17:01


#2 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 26 Май 2020 - 17:21

Во первых, я хренею... O_o :o 

А, во вторых, превентивка оценивает не только легитимность процесса, но и легитимность действий.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#3 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 26 Май 2020 - 19:25

Вот это поворот! ©


(exit 0)

#4 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 911 Сообщений:

Отправлено 26 Май 2020 - 23:02

WSL/docker locker as next big thing?

#5 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 27 Май 2020 - 09:44

А, во вторых, превентивка оценивает не только легитимность процесса, но и легитимность действий.

А вот хз какие действия тут АВ смогут увидеть.

Необходимость скачать и установить 400 МБ впечатляет, но вряд ли это будет большой проблемой.



#6 riaman

riaman

    Member

  • Posters
  • 206 Сообщений:

Отправлено 30 Май 2020 - 19:42

...хакеры загружают и устанавливают Oracle VirtualBox.

 

 

А вот тут работают "старые" методы: чтобы загрузить и установить программу, надо уже иметь доступ к компьютеру.



#7 B.Chugunov

B.Chugunov

    Advanced Member

  • Dr.Web Staff
  • 569 Сообщений:

Отправлено 31 Май 2020 - 19:43

Если у хакера уже есть доступ на загрузку, исполнение и установку сопутствующего ПО в систему, то это какой-то велосипед получается. 

С тем же успехом ставится архиватор и файлы загоняются в архив с паролем. Зачем здесь такая сложная схема, вообще не понятно. 

На самом деле если хакер уже получил доступ к системе, в 99% случаев антивирус не спасет.

Встречаются случаи, когда ломают RDP и дальше начинаются танцы с бубнами. Первым делом грузят целый зоопарк куда-нибудь на рабочий стол и начинают запускать все подряд, авось что-то сработает. Может быть и 10 и 20 и 30 разных экзешников. Часть из которых без сигнатурных детектов. Далее, если Гвард+Превентивка отрабатывают как надо, начинаются тыкаться на отключение агента. Если настройки под паролем\их изменение запрещено админом или включен запрет эмуляции действий пользователя, тыкаются в удаление. Если удалить тоже нет прав, начинают искать другие способы. Создают виртуальные диски и пытаются стартануть оттуда, пытаются создать нового пользователя и стартовать из под него и т.д. 

В конце концов встречаются случаи, когда просто берут все файлы с определенными расширениями или конкретный очевидно важный файл( обычно базу данных 1С) и пакуют в архив с паролем. Никакие вирусы не нужны.

Так же бывают случаи, когда файлы заливают к себе на сервер, а с атакуемой машины файлы либо полностью трут, либо оставляют файлы пустышки. Имя есть, но вся структура забита нулевыми байтами. Оставляют только файл с требованиями и делай что хочешь. Никакая превентивка тут уже не поможет. Не защитил RDP - считай, что система обречена. 

 

В этой плоскости использование виртуалки конечно интересно, но не понятна практическая необходимость в таком решении. Есть огромное кол-во других, более простых способов зашифровать, либо так или иначе лишить вас ваших файлов. 


-----------------
best regards,
Technical support department, Doctor Web, Ltd.

#8 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 01 Июнь 2020 - 20:55

Если у хакера уже есть доступ на загрузку, исполнение и установку сопутствующего ПО в систему, то это какой-то велосипед получается. 

А если доступа нет? Почему бы не впарить юзеру "свою" виртуалку под видом чего нибудь легального?


Сообщение было изменено SergSG: 01 Июнь 2020 - 20:58


#9 Victor_koly

Victor_koly

    Member

  • Posters
  • 344 Сообщений:

Отправлено 14 Июнь 2020 - 20:33

чтобы предоставить ей полный доступ ко всем локальным и общим дискам

 

И наличие в системе такой запущенной виртуалки конечно пользователь не увидит?



#10 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 15 Июнь 2020 - 10:01

чтобы предоставить ей полный доступ ко всем локальным и общим дискам

И наличие в системе такой запущенной виртуалки конечно пользователь не увидит?

Большинство, скорее всего, не заметит. По крайней мере вовремя.


Семь раз отрежь – один раз проверь

#11 JohnnyJohnny41

JohnnyJohnny41

    Newbie

  • Members
  • 0 Сообщений:

Отправлено 17 Февраль 2024 - 13:31

Я скачивал образ microxp с archive.org когда он скачался было написано в гугл хром ошибка обнаружен вирус на диске этого файла не было. Я заразил комп или нет?


Сообщение было изменено JohnnyJohnny41: 17 Февраль 2024 - 13:32


#12 Dolmatov

Dolmatov

    Newbie

  • Posters
  • 74 Сообщений:

Отправлено 17 Февраль 2024 - 17:20

Я скачивал образ microxp с archive.org когда он скачался было написано в гугл хром ошибка обнаружен вирус на диске этого файла не было. Я заразил комп или нет?

Просьба не "поднимать" старые темы. Также не следует писать в чужих темах, если обсуждение не относится к продолжению темы.

 

Непосредственно по вопросу. Браузер при скачивании создаёт временный файл со случайным "служебным названием", только после вашего согласия сохраняет файл на устройство с нужным именем. Сохранение файла не означает, что он тут же будет запущен, чтобы вызвать заражение. Соответственно, у вас файл заблокирован на первом этапе из двух обозначенных. Вероятность заражения стремиться к нулю. К тому же вы не открывали образ (если сохранение было с расширением ISO), чтобы получить доступ к файлам внутри него.

Если установлен антивирус, то это ещё один этап обезопасить себя. Либо на этапе доступа к сайту будет блокировка, либо при взаимодействии с объектом (образом). При этом при сомнениях всё равно запустите проверку на вирусы. Даже при отсутствии установленного антивируса это доступно через Dr.Web CureIt!. антивирус.рф - здесь можете ознакомиться с предлагаемыми решениями.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых