2020/05/23 10:28:54

Ragnar Locker (вирус-вымогатель)


Содержание

Вирусы-вымогатели

Основная статья: Вирусы-вымогатели (шифровальщики) Ransomware

2022: Все данные полиции бельгийского города украдены хакерами после атаки шифровальщика

В начале декабря 2022 года хакеры Ragnar Locker опубликовали на своем сайте украденные данные, которые, как они думали, принадлежали муниципалитету бельгийского города Звейндрехт. Но на самом деле опубликованная информация принадлежала полиции Звейндрехта. Подробнее здесь.

2020: Обнаружение вирусов-вымогателей на виртуальных машинах

21 мая 2020 года разработчик антивирусов Sophos сообщил об обнаружении Ragnar Locker — нового типа вирусов-вымогателей, который отличается от ранее известных способом маскировки от защитного программного обеспечения.

Ragnar Locker, для того чтобы быть незаметным для антивирусов, развертывает на компьютере жертвы виртуальную машину и помещает себя в нее. Для создания визуальной машины используется гипервизор Oracle VirtualBox. В качестве операционной системы выступает Windows XP. Образ операционной системы и VirtualBox имеют общий объем около 404 МБ — все это загружается на ПК жертвы только для того, чтобы скрыть исполняемый файл vrun.exe объемом 49 КБ.

Вирусы-вымогатели начали запускать на виртуальных машинах, чтобы спрятать от антивирусов

Злоумышленники используют GPO для запуска установщика Microsoft (msiexec.exe), который незаметно загружает из интернета и устанавливает неподписанный MSI-пакет объемом 122 МБ с удаленного сервера. Этот пакет включает гипервизор Oracle VirtualBox (в частности, версию Sun xVM VirtualBox 3.0.4 от 5 августа 2009 года) и образ диска micro.vdi, содержащий урезанную версию Windows XP SP3 под названием MicroXP v0.82. Этот образ уже включает вирус.

Поскольку вирус запускается внутри виртуальной машины, он незаметен для антивирусного ПО, установленного на хосте (поскольку оно не сканирует виртуальные машины), пояснили в Sophos.

До того как начать распространять Ragnar Locker, злоумышленники, стоящие за программой-вымогателем, атакуют целевую сеть и похищают данные, за которые потом с помощью этого приложения требуют деньги. Так, в апреле 2020 года они завладели конфиденциальными данными сетевой компании Energias de Portuga, после чего потребовали от нее 1580 биткоинов (около $11 млн), пригрозив выложить эти данные в открытый доступ, если оплата не поступит.[1]

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания