Windows XP wykorzystany jako element malware'u—szkodliwa wirtualka Strona główna Aktualności23.05.2020 10:10 fot. Getty Images Udostępnij: O autorze Piotr Urbaniak @gtxxor Nowy ransomware wynosi metody unikania wykrycia na następny poziom – stwierdza Sophos, opisując ostatni atak z użyciem narzędzia zwanego Ragnar Locker. Włamywacze, chcąc obejść zaporę i oprogramowanie zabezpieczające, dystrybuują szkodnika jako maszynę wirtualną na Windowsie XP. Paczka niezbędna do przeprowadzenia ataku ma 122 MB, a w jej wnętrzu znajduje się liczący 282 MB obraz maszyny wirtualnej. Wszystko to, aby przemycić 49 kB plik wykonywalny. Jak ustalił Sophos, maszyna działa w oparciu o archaiczny VM VirtualBox 3.0.4 (wydanie z 2009 roku) i okrojoną wersję Windowsa XP z Service Packiem 3, MicroXP v0.82. Jednocześnie ataki z jej użyciem zawsze są przemyślane w najdrobniejszym detalu. Tak, aby zmaksymalizować efektywność i wyrządzić ofierze jak najwięcej szkód, i to w sugestywny sposób. Instalatorowi towarzyszy plik wsadowy, który rejestruje i uruchamia niezbędne biblioteki VBoxC.dll i VBoxRT.dll, jak również sterownik VboxDrv.sys. Do tego skrypt wyłącza usługę Shell Hardware Detection i usuwa ewentualne snapshoty (kopie zapasowe). Jakby tego było mało, komunikat z żądaniem okupu cechuje się spersonalizowaną pod kątem ofiary oprawą graficzną, a konkretniej – logiem atakowanej firmy. Udana infekcja kończy się utworzeniem w sieci lokalnej nowego komputera, którego szkodliwe oprogramowanie jest poza jurysdykcją systemu antymalware. Ten może atakować zarówno platformę macierzystą, jak i inne pecety w sieci. Później, typowo dla ransomware'u, mapuje i szyfruje dyski, by wyświetlić żądanie okupu. Pomysłowe, przyznajcie. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Ignorancja, bezmyślność i jedno z epokowych kuriozów branży cyberbezpieczeństwa 8 lut 2020 Piotr Urbaniak Oprogramowanie Sprzęt Bezpieczeństwo 27 Ubuntu zamiast Windows 7. Canonical namawia do przesiadki i publikuje poradnik 5 lut 2020 Piotr Urbaniak Oprogramowanie Biznes 338 Twoje dziecko używa Linuksa? Strzeż się – prawdopodobnie jest cyberprzestępcą 15 lut 2020 Piotr Urbaniak Oprogramowanie Biznes Bezpieczeństwo 258 Windows 10 19H2 dostępny dla wszystkich – już nic nie przeszkodzi w aktualizacji 23 sty 2020 Oskar Ziomek Oprogramowanie 121
Udostępnij: O autorze Piotr Urbaniak @gtxxor Nowy ransomware wynosi metody unikania wykrycia na następny poziom – stwierdza Sophos, opisując ostatni atak z użyciem narzędzia zwanego Ragnar Locker. Włamywacze, chcąc obejść zaporę i oprogramowanie zabezpieczające, dystrybuują szkodnika jako maszynę wirtualną na Windowsie XP. Paczka niezbędna do przeprowadzenia ataku ma 122 MB, a w jej wnętrzu znajduje się liczący 282 MB obraz maszyny wirtualnej. Wszystko to, aby przemycić 49 kB plik wykonywalny. Jak ustalił Sophos, maszyna działa w oparciu o archaiczny VM VirtualBox 3.0.4 (wydanie z 2009 roku) i okrojoną wersję Windowsa XP z Service Packiem 3, MicroXP v0.82. Jednocześnie ataki z jej użyciem zawsze są przemyślane w najdrobniejszym detalu. Tak, aby zmaksymalizować efektywność i wyrządzić ofierze jak najwięcej szkód, i to w sugestywny sposób. Instalatorowi towarzyszy plik wsadowy, który rejestruje i uruchamia niezbędne biblioteki VBoxC.dll i VBoxRT.dll, jak również sterownik VboxDrv.sys. Do tego skrypt wyłącza usługę Shell Hardware Detection i usuwa ewentualne snapshoty (kopie zapasowe). Jakby tego było mało, komunikat z żądaniem okupu cechuje się spersonalizowaną pod kątem ofiary oprawą graficzną, a konkretniej – logiem atakowanej firmy. Udana infekcja kończy się utworzeniem w sieci lokalnej nowego komputera, którego szkodliwe oprogramowanie jest poza jurysdykcją systemu antymalware. Ten może atakować zarówno platformę macierzystą, jak i inne pecety w sieci. Później, typowo dla ransomware'u, mapuje i szyfruje dyski, by wyświetlić żądanie okupu. Pomysłowe, przyznajcie. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji