RagnarLocker
RagnarLocker este un ransomware lansat la sfârșitul anului 2019 cunoscut pentru utilizarea tehnicilor de evadare a mașinilor virtuale pentru a se ascunde de detectare.
Istorie
Probabil scrise în Europa de Est, nu ataca calculatoarele cu un aspect de tastatură sau limbaj sistem care să corespundă cu cel al unei foste URSS țară și au efectuat primul atac demn de remarcat la mijlocul lunii aprilie împotriva companiei portugheze de electricitate. Energias de Portugal , în cazul în care un 10 S-a făcut și scurgerea TB . [1] .
Operațiune
Programul malware verifică sistemul de operare și, dacă detectează o setare compatibilă cu cea a fostelor țări ale URSS, suspendă execuția, altfel trimite o copie a fișierelor către serverul central și oprește toate serviciile care conțin următoarele șiruri [2] :
vss sql memtas mepocs sophos veeam de rezervă pulsul logme logmein conectat splashtop kaseya
Prin urmare, malware-ul depune un fișier care conține o instalare VirtualBox cu o imagine Windows XP care include ransomware-ul propriu-zis, care cântărește doar 49 kB. Sistemul este special configurat pentru a putea vedea fișierele computerului gazdă și este rulat printr-un script batch care pornește mașina virtuală . Potrivit analiștilor Sophos , malware-ul este compilat special pentru fiecare victimă. [3]
Datorită acestei tehnici, întreaga încărcare virală rămâne limitată în sistemul virtual și operațiunile pe fișiere sunt, pentru software-ul de securitate, perfect legitime și efectuate de aplicația VirtualBox. [3]