Sophos повідомив про виявлення нового типу вірусів-здирників з раніше невідомим способом маскування
Sophos повідомив про виявлення нового типу вірусів-здирників з раніше невідомим способом маскування
Sophos повідомив про виявлення Ragnar Locker — нового типу вірусів-вимагачів, який відрізняється від раніше відомих способом маскування від антивірусного програмного забезпечення.
Ragnar Locker, щоб бути непомітним для антивірусів, розгортає на комп'ютері жертви віртуальну машину і поміщає себе в неї. Для створення візуальної машини використовують гіпервізор Oracle VirtualBox. В якості операційної системи виступає Windows XP. Образ операційної системи та VirtualBox мають загальний обсяг близько 404 МБ — все це завантажується на ПК жертви тільки для того, щоб приховати файл vrun.exe, що виконується, обсягом 49 КБ.
Зловмисники використовують GPO для запуску інсталятора Microsoft (msiexec.exe), який непомітно завантажує з інтернету та встановлює непідписаний MSI-пакет об'ємом 122 МБ з віддаленого сервера. Цей пакет включає гіпервізор Oracle VirtualBox (зокрема, версію Sun xVM VirtualBox 3.0.4 від 5 серпня 2009 року) і образ диска micro.vdi, що містить урізану версію Windows XP SP3 під назвою MicroXP v0.82. Цей образ вже містить вірус.
Оскільки вірус запускається всередині віртуальної машини, він непомітний для антивірусного ПЗ, встановленого на хості (оскільки воно не сканує віртуальні машини), пояснили в Sophos.
До того як почати розповсюджувати Ragnar Locker, зловмисники, які стоять за програмою-вимагачем, атакують цільову мережу та викрадають дані, за які потім за допомогою цієї програми вимагають гроші. Так, у квітні 2020 року вони оволоділи конфіденційними даними мережевої компанії Energias de Portuga, після чого вимагали від неї 1580 біткоінів (близько $11 млн), пригрозивши викласти ці дані у відкритий доступ, якщо оплата не надійде
