RagnarLocker

Această intrare pe subiectul computerului este orfană , ceea ce înseamnă că nu există legături de intrare din alte intrări . Vă rugăm să introduceți cel puțin un relevant și nu generice și elimina avertismentul. Urmați sfaturile de proiectare de referință .

RagnarLocker este un ransomware lansat la sfârșitul anului 2019 cunoscut pentru utilizarea tehnicilor de evadare a mașinilor virtuale pentru a se ascunde de detectare.

Istorie

Probabil scrise în Europa de Est, nu ataca calculatoarele cu un aspect de tastatură sau limbaj sistem care să corespundă cu cel al unei foste URSS țară și au efectuat primul atac demn de remarcat la mijlocul lunii aprilie împotriva companiei portugheze de electricitate. Energias de Portugal , în cazul în care un 10 S-a făcut și scurgerea TB . ^[1] .

Operațiune

Programul malware verifică sistemul de operare și, dacă detectează o setare compatibilă cu cea a fostelor țări ale URSS, suspendă execuția, altfel trimite o copie a fișierelor către serverul central și oprește toate serviciile care conțin următoarele șiruri ^[2] :

 vss
sql
memtas
mepocs
sophos
veeam
de rezervă
pulsul
logme
logmein
conectat
splashtop
kaseya

Prin urmare, malware-ul depune un fișier care conține o instalare VirtualBox cu o imagine Windows XP care include ransomware-ul propriu-zis, care cântărește doar 49 kB. Sistemul este special configurat pentru a putea vedea fișierele computerului gazdă și este rulat printr-un script batch care pornește mașina virtuală . Potrivit analiștilor Sophos , malware-ul este compilat special pentru fiecare victimă. ^[3]

Datorită acestei tehnici, întreaga încărcare virală rămâne limitată în sistemul virtual și operațiunile pe fișiere sunt, pentru software-ul de securitate, perfect legitime și efectuate de aplicația VirtualBox. ^[3]

Notă

Portal de securitate IT : accesați intrările Wikipedia care se ocupă cu securitatea IT