Специалисты компании Sophos обнаружили, что операторы малвари Ragnar Locker используют Oracle VirtualBox и виртуальные машины с Windows XP, чтобы скрыть свое присутствие в зараженной системе и запустить вымогателя в «безопасной» среде, недоступной для локального антивирусного ПО.
...
Вымогатель Ragnar Locker использует виртуальные машины для сокрытия своих действий.
Вместо того, чтобы запускать малварь непосредственно на самом компьютере, который нужно зашифровать, хакеры загружают и устанавливают Oracle VirtualBox. Затем злоумышленники настраивают виртуальную машину таким образом, чтобы предоставить ей полный доступ ко всем локальным и общим дискам, а также позволяя взаимодействовать с файлами, расположенными вне ее собственного хранилища.
В итоге на зараженной машине осуществляется загрузка виртуальной машины с урезанной версией Windows XP SP3, которая называется MicroXP v0.82. Затем внутри ВМ загружается и запускается и сам Ragnar Locker. Исследователи отмечают, что в итоге полезная нагрузка атаки — это установщик объемом 122 Мб и виртуальный образ, размером 282 Мб. И все это для сокрытия исполняемого файла малвари размером 49 Кб.
Так как вымогатель и его процесс vrun.exe работают внутри виртуальной машины, антивирусное ПО оказывается не в силах его обнаружить. С точки зрения антивируса, файлы в локальной системе и на общих дисках внезапно заменяются зашифрованными версиями, но все модификации исходят от легитимного процесса VboxHeadless.exe, то есть за все это ответственно приложение VirtualBox.
Эксперты Sophos отмечают, что впервые видят шифровальщика, который использует виртуальные машины.
«В последние несколько месяцев мы наблюдали развитие вымогателей по нескольким направлениям. Но операторы Ragnar Locker выводят вымогатели на новый уровень и мыслят крайне нестандартно», — пишут специалисты.
Сообщение было изменено Lvenok: 26 Май 2020 - 17:01