الأخبار التكنولوجية والاستعراضات والنصائح!

ملف Ransar Locker Ransomware ملفوف الآن في الأجهزة الافتراضية

  • يستخدم "Ragnar Locker" طريقة جديدة للاختباء من أدوات مكافحة الفيروسات واكتشاف المستخدم.
  • تقوم المجموعة بإخفاء برنامج الفدية القابل للتنفيذ داخل جهاز ظاهري على شريط مجرد Windows مربع XP.
  • يكتشف برنامج الفدية محركات الأقراص المحلية وشبكة النظام ويصل إليها ، ويقوم بالتسلل إليها وتشفيرها.

هناك العديد من الطرق التي يحاول من خلالها فاعلو التهديد تجنب الاكتشاف ، أي عن طريق تشفير الملفات التنفيذية أو اتصالات C2 ، أو استخدام شيء غير ضار لجلب الحمولة الخبيثة ، أو استخدام شهادات توقيع التعليمات البرمجية المسروقة ، أو حتى من خلال إخفاء البرامج الضارة داخل الأجهزة الافتراضية. ذهبت المجموعة وراء سلالة فدية "Ragnar Locker" للاختيار الأخير مؤخرًا. بالنسبة الى تقرير صافوس، يستخدم الممثلون Oracle VirtualBox Windows الجهاز الظاهري XP لإخفاء الملف التنفيذي Ragnar Locker.

rag-vdi-files "width =" 768 "height =" 338 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/05/rag-vdi-files.jpg 768w ، https://cdn.technadu.com/wp-content/uploads/2020/05/rag-vdi-files-300x132.jpg 300 واط ، https://cdn.technadu.com/wp-content/uploads/2020/05 /rag-vdi-files-200x88.jpg 200 واط ، https://cdn.technadu.com/wp-content/uploads/2020/05/rag-vdi-files-696x306.jpg 696 واط "الأحجام =" (الحد الأقصى للعرض) : 768 بكسل) 100vw ، 768 بكسلالمصدر: سوفوس

Ragnar Locker هي مجموعة برامج الفدية التي تحدد اتجاه سرقة البيانات من الشبكات المخترقة قبل إغلاق الملفات محليًا. وقد استهدفوا مؤخرًا مزود الطاقة الكهربائية والغاز "Energias de Portugal" ، وسرقة ما يقرب من 10 تيرابايت من البيانات الحساسة لاستخدامها في الابتزاز المستمر. طالب Ragnar Locker بفدية ، في هذه الحالة ، كان مبلغًا كبيرًا للغاية يبلغ 1.580 Bitcoin (14.3 مليون دولار). ومع ذلك ، نحن نتحدث عن مجموعة برامج الفدية التي تحدد التطورات في هذا المجال ، لذلك قد يجد نشر الصناديق الافتراضية التي يختبئ داخلها برامج تنفيذية للفدية تقليدًا عبر النطاق. بعد كل شيء ، هؤلاء الخصوم يتجهون إلى المستوى الأعلى ، لذلك لا توجد تقنية تفتح الطريق للنجاح تعتبر غير تقليدية.

اكتشفت شركة Sophos إصابات Ragnar Locker التي تستخدم حزمة MSI غير موقعة بحجم 122 ميغابايت وتحتوي على مراقب افتراضي قديم (v3.0.4). صورة القرص الظاهري التي تختبئ داخل الجهاز مقلوبة Windows XP SP3 ، المسمى "MicroXP v0.82" – هناك يخفي 49 كيلو بايت قابل للتنفيذ Ragnar Locker. يتم نسخ الصورة الافتراضية إلى "C: Program Files (x86) VirtualApp Appliances" ، ومن خلال سلسلة من عمليات تنفيذ النص البرمجي ، يتم تعطيل Windows إخطارات التشغيل التلقائي لجعل تحميل المربع الظاهري في محرك أقراص افتراضي صامت. تم تكوين الجهاز الظاهري لاستخدام 256 ميغابايت من ذاكرة الوصول العشوائي ، ونواة وحدة معالجة مركزية واحدة ، لذلك لن يلاحظ المستخدم على الأرجح أن شيئًا ما يعمل في الخلفية.

تثبيت خرقة "width =" 941 "height =" 495 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/05/rag-install.jpg 941w، https: // cdn.technadu.com/wp-content/uploads/2020/05/rag-install-300x158.jpg 300w ، https://cdn.technadu.com/wp-content/uploads/2020/05/rag-install-768x404 .jpg 768w ، https://cdn.technadu.com/wp-content/uploads/2020/05/rag-install-200x105.jpg 200w ، https://cdn.technadu.com/wp-content/uploads/2020 /05/rag-install-696x366.jpg 696w ، https://cdn.technadu.com/wp-content/uploads/2020/05/rag-install-798x420.jpg 798w "الأحجام =" (الحد الأقصى للعرض: 941 بكسل ) 100vw ، 941 بكسلالمصدر: سوفوس

بعد تعداد الأقراص في النظام وتعيين محركات أقراص الشبكة على الجهاز المادي ، يتم تكوين كل شيء بحيث يمكن الوصول إليه من داخل الجهاز الظاهري – حيث أن هذا مطلوب للتشفير. هناك نص برمجي آخر يحذف النسخ الخلفية في النظام الهدف لجعل استعادة الملفات إلى حالة سابقة (غير مشفرة) مستحيلة. نظرًا لأن كل شيء يتم تشغيله من الجهاز الظاهري ، فإن أي أدوات لمكافحة الفيروسات أو لمكافحة البرامج الضارة التي تعمل على النظام لن تكتشف أي شيء وتوقفه ، لذلك يمكن أن تكشف الإجراءات الخبيثة دون عوائق.