___

___

author_name

Разработчики ransomware не стоят на месте. По информации ZDNet, оператор рансомвари RagnarLocker сначала устанавливает на скомпрометированную систему Oracle VirtualBox и настраивает её полный доступ ко всем локальным и общим дискам. Затем на виртуальную машину устанавливается MicroXP v0.82 (урезанная Windows XP SP3), а уже на нее ставится RagnarLocker. Таким образом ransomware прячется от антивирусов, поскольку все совершенные ей действия по шифровке файлов зараженной системы производятся процессом VirtualBox. Данный трюк выявили британские антивирусники Sophos, которые говорят, что столкнулись с таким впервые. Мы, подумав своей коллективной головой, признали этот метод работоспособным, в первую очередь потому, что VirtualBox, по идее, подписан, а антивирусы относятся к подписанным процессам с меньшим подозрением. Но как только такая методика становится массовой - тут же появится и детект. А в принципе, можно сгенерировать множество способов изменения файловой системы с помощью белого ПО, да вот только работать такие способы будут очень недолго.


Источник: Караульный

Report Page