Windows XP wykorzystany jako element malware'u—szkodliwa wirtualka Strona główna Aktualności23.05.2020 10:10 fot. Getty Images Udostępnij: O autorze Piotr Urbaniak @gtxxor Nowy ransomware wynosi metody unikania wykrycia na następny poziom – stwierdza Sophos, opisując ostatni atak z użyciem narzędzia zwanego Ragnar Locker. Włamywacze, chcąc obejść zaporę i oprogramowanie zabezpieczające, dystrybuują szkodnika jako maszynę wirtualną na Windowsie XP. Paczka niezbędna do przeprowadzenia ataku ma 122 MB, a w jej wnętrzu znajduje się liczący 282 MB obraz maszyny wirtualnej. Wszystko to, aby przemycić 49 kB plik wykonywalny. Jak ustalił Sophos, maszyna działa w oparciu o archaiczny VM VirtualBox 3.0.4 (wydanie z 2009 roku) i okrojoną wersję Windowsa XP z Service Packiem 3, MicroXP v0.82. Jednocześnie ataki z jej użyciem zawsze są przemyślane w najdrobniejszym detalu. Tak, aby zmaksymalizować efektywność i wyrządzić ofierze jak najwięcej szkód, i to w sugestywny sposób. Instalatorowi towarzyszy plik wsadowy, który rejestruje i uruchamia niezbędne biblioteki VBoxC.dll i VBoxRT.dll, jak również sterownik VboxDrv.sys. Do tego skrypt wyłącza usługę Shell Hardware Detection i usuwa ewentualne snapshoty (kopie zapasowe). Jakby tego było mało, komunikat z żądaniem okupu cechuje się spersonalizowaną pod kątem ofiary oprawą graficzną, a konkretniej – logiem atakowanej firmy. Udana infekcja kończy się utworzeniem w sieci lokalnej nowego komputera, którego szkodliwe oprogramowanie jest poza jurysdykcją systemu antymalware. Ten może atakować zarówno platformę macierzystą, jak i inne pecety w sieci. Później, typowo dla ransomware'u, mapuje i szyfruje dyski, by wyświetlić żądanie okupu. Pomysłowe, przyznajcie. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Windows 10 18990 w Fast Ring, obrazy ISO dostępne na stronie Microsoftu 8 paź 2019 Anna Rymsza Oprogramowanie Poradniki 26 Emotet pokazał siłę targetowanego ransomware'u. "Połowa ofiar płaci" - potwierdza ekspert z Sophos 23 paź 2019 Bolesław Breczko Bezpieczeństwo 17 Mark Hurd: CEO Oracle i były szef Hewlett-Packard zmarł w wieku 62 lat 18 paź 2019 Jan Domański Oprogramowanie Biznes 28 Kampania phishingowa na Instagramie na "prawa autorskie" 2 paź 2019 Bolesław Breczko Oprogramowanie 3
Udostępnij: O autorze Piotr Urbaniak @gtxxor Nowy ransomware wynosi metody unikania wykrycia na następny poziom – stwierdza Sophos, opisując ostatni atak z użyciem narzędzia zwanego Ragnar Locker. Włamywacze, chcąc obejść zaporę i oprogramowanie zabezpieczające, dystrybuują szkodnika jako maszynę wirtualną na Windowsie XP. Paczka niezbędna do przeprowadzenia ataku ma 122 MB, a w jej wnętrzu znajduje się liczący 282 MB obraz maszyny wirtualnej. Wszystko to, aby przemycić 49 kB plik wykonywalny. Jak ustalił Sophos, maszyna działa w oparciu o archaiczny VM VirtualBox 3.0.4 (wydanie z 2009 roku) i okrojoną wersję Windowsa XP z Service Packiem 3, MicroXP v0.82. Jednocześnie ataki z jej użyciem zawsze są przemyślane w najdrobniejszym detalu. Tak, aby zmaksymalizować efektywność i wyrządzić ofierze jak najwięcej szkód, i to w sugestywny sposób. Instalatorowi towarzyszy plik wsadowy, który rejestruje i uruchamia niezbędne biblioteki VBoxC.dll i VBoxRT.dll, jak również sterownik VboxDrv.sys. Do tego skrypt wyłącza usługę Shell Hardware Detection i usuwa ewentualne snapshoty (kopie zapasowe). Jakby tego było mało, komunikat z żądaniem okupu cechuje się spersonalizowaną pod kątem ofiary oprawą graficzną, a konkretniej – logiem atakowanej firmy. Udana infekcja kończy się utworzeniem w sieci lokalnej nowego komputera, którego szkodliwe oprogramowanie jest poza jurysdykcją systemu antymalware. Ten może atakować zarówno platformę macierzystą, jak i inne pecety w sieci. Później, typowo dla ransomware'u, mapuje i szyfruje dyski, by wyświetlić żądanie okupu. Pomysłowe, przyznajcie. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji