Windows XP wykorzystany jako element malware'u—szkodliwa wirtualka
Nowy ransomware wynosi metody unikania wykrycia na następny poziom – stwierdza Sophos, opisując ostatni atak z użyciem narzędzia zwanego Ragnar Locker. Włamywacze, chcąc obejść zaporę i oprogramowanie zabezpieczające, dystrybuują szkodnika jako maszynę wirtualną na Windowsie XP.
Paczka niezbędna do przeprowadzenia ataku ma 122 MB, a w jej wnętrzu znajduje się liczący 282 MB obraz maszyny wirtualnej. Wszystko to, aby przemycić 49 kB plik wykonywalny.
Jak ustalił Sophos, maszyna działa w oparciu o archaiczny VM VirtualBox 3.0.4 (wydanie z 2009 roku) i okrojoną wersję Windowsa XP z Service Packiem 3, MicroXP v0.82. Jednocześnie ataki z jej użyciem zawsze są przemyślane w najdrobniejszym detalu. Tak, aby zmaksymalizować efektywność i wyrządzić ofierze jak najwięcej szkód, i to w sugestywny sposób.
Instalatorowi towarzyszy plik wsadowy, który rejestruje i uruchamia niezbędne biblioteki VBoxC.dll i VBoxRT.dll, jak również sterownik VboxDrv.sys. Do tego skrypt wyłącza usługę Shell Hardware Detection i usuwa ewentualne snapshoty (kopie zapasowe). Jakby tego było mało, komunikat z żądaniem okupu cechuje się spersonalizowaną pod kątem ofiary oprawą graficzną, a konkretniej – logiem atakowanej firmy.
Udana infekcja kończy się utworzeniem w sieci lokalnej nowego komputera, którego szkodliwe oprogramowanie jest poza jurysdykcją systemu antymalware. Ten może atakować zarówno platformę macierzystą, jak i inne pecety w sieci. Później, typowo dla ransomware'u, mapuje i szyfruje dyski, by wyświetlić żądanie okupu. Pomysłowe, przyznajcie.
