2020/05/23 10:28:54

Ragnar Locker (вирус-вымогатель)


Содержание

Вирусы-вымогатели

Основная статья: Вирус-вымогатель (шифровальщик) Ramsomware

2020: Обнаружение вирусов-вымогателей на виртуальных машинах

21 мая 2020 года разработчик антивирусов Sophos сообщил об обнаружении Ragnar Locker — нового типа вирусов-вымогателей, который отличается от ранее известных способом маскировки от защитного программного обеспечения.

Ragnar Locker, для того чтобы быть незаметным для антивирусов, развертывает на компьютере жертвы виртуальную машину и помещает себя в нее. Для создания визуальной машины используется гипервизор Oracle VirtualBox. В качестве операционной системы выступает Windows XP. Образ операционной системы и VirtualBox имеют общий объем около 404 МБ — все это загружается на ПК жертвы только для того, чтобы скрыть исполняемый файл vrun.exe объемом 49 КБ.

Вирусы-вымогатели начали запускать на виртуальных машинах, чтобы спрятать от антивирусов

Злоумышленники используют GPO для запуска установщика Microsoft (msiexec.exe), который незаметно загружает из интернета и устанавливает неподписанный MSI-пакет объемом 122 МБ с удаленного сервера. Этот пакет включает гипервизор Oracle VirtualBox (в частности, версию Sun xVM VirtualBox 3.0.4 от 5 августа 2009 года) и образ диска micro.vdi, содержащий урезанную версию Windows XP SP3 под названием MicroXP v0.82. Этот образ уже включает вирус.

Поскольку вирус запускается внутри виртуальной машины, он незаметен для антивирусного ПО, установленного на хосте (поскольку оно не сканирует виртуальные машины), пояснили в Sophos.

Реклама
Lenovo ST50 – идеальный сервер начального уровня

Высокая производительность, надежность и удобство обслуживания делают ThinkSystem ST50 идеальным вариантом для компаний малого и среднего бизнеса, удаленных офисов и филиалов.

Узнать больше

До того как начать распространять Ragnar Locker, злоумышленники, стоящие за программой-вымогателем, атакуют целевую сеть и похищают данные, за которые потом с помощью этого приложения требуют деньги. Так, в апреле 2020 года они завладели конфиденциальными данными сетевой компании Energias de Portuga, после чего потребовали от нее 1580 биткоинов (около $11 млн), пригрозив выложить эти данные в открытый доступ, если оплата не поступит.[1]

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность




Примечания