Security Week 22: вымогатель в виртуальной машине

На прошлой неделе специалисты компании Sophos раскрыли детали интересного трояна-шифровальщика Ragnar Locket (статья в издании ZDNet, технический пост в блоге Sophos). Вымогатель тащит за собой на атакованную систему полноценную виртуальную машину, в которой запускается, получает доступ к файловой системе хоста и шифрует данные. Помимо прочего этот случай показывает, что инфляция инсталляторов добралась и до вредоносного софта. Чтобы спрятать собственно вредоносный код размером 49 килобайт, жертве доставляют установщик объемом 122 мегабайта, который распаковывается до 282 мегабайт. По данным Sophos, вымогатель использует группировка, нацеленная на бизнес. В пример приводят атаку на поставщика электроэнергии Energias de Portugal. Предположительно у них украли 10 терабайт данных, а за расшифровку киберпреступники потребовали 1580 биткойнов. В СМИ операция с виртуальной машиной описана как эффективный трюк для обхода антивирусного ПО. Но на деле такая «инновация» не требует каких-либо изменений в технологиях защиты. Необходимо только правильное применение существующих. Читать дальше →

Источник: Хабрахабр