Эксперты Sophos отмечают, что в лице нового зловреда впервые видят шифровальщика, который использует виртуальные машины для сокрытия своих действий.
Как оказалось, операторы малвари Ragnar Locker используют Oracle VirtualBox и виртуальные машины с Windows XP, чтобы скрыть свое присутствие в зараженной системе и запустить вымогателя в «безопасной» среде, недоступной для локального антивирусного ПО.
Как правило, Ragnar Locker атакует компании прицельно и занимается исключительно крупными предприятиями. Действия вредоноса тщательно настраиваются под конкретную жертву. За расшифровку данных требуется весьма солидный по меркам бизнеса выкуп в размере от нескольких десятков до сотен тысяч долларов США. Встречаются и гораздо более серьезные случаи.
Хитроумная атака происходит по такому алгоритму: непосредственно на самом компьютере, который нужно зашифровать, хакеры загружают и устанавливают Oracle VirtualBox. Затем злоумышленники настраивают виртуальную машину таким образом, чтобы предоставить ей полный доступ ко всем локальным и общим дискам, и дают ей разрешение взаимодействовать с файлами, расположенными вне ее собственного хранилища.
Внутри виртуальной машины загружается и запускается и сам Ragnar Locker.
Исследователи отмечают, что в итоге полезная нагрузка атаки — это установщик объемом 122 Мб и виртуальный образ, размером 282 Мб. Все эти телодвижения нужны для сокрытия исполняемого файла вируса размером 49 Кб.
Так как вымогатель и его процесс vrun.exe работают внутри виртуальной машины, антивирусное ПО оказывается не в силах его обнаружить. Как бороться с таким хитроумным ходом, пока не ясно.
Ранее в апреле операторы Ragnar Locker зашифровали компьютерные системы португальского транснационального энергетического гиганта Energias de Portugal (EDP) и потребовали выкуп в 1580 биткойнов (это сегодня около $11 млн).
В результате атаки им удалось похитить более 10 ТБ конфиденциальных файлов компании. Вымогатели угрожают EDP опубликовать украденные данные и уведомить об этом всех ее клиентов и партнеров, если выкуп не будет выплачен.
Преступники уже опубликовали некоторую часть похищенных данных в качестве предупреждения, включая файл edpradmin2.kdb, являющийся базой данных менеджера паролей KeePass, а также учетные данные пользователей, URL-адреса и заметки сотрудников EDP.
Хакеры также настаивают, что им удалось украсть конфиденциальную информацию о выставлении счетов, контрактах, транзакциях, клиентах и партнерах.
Великодушные операторы Ragnar Locker предложили EDP скидку на выкуп, если они согласятся заплатить выкуп в течение двух дней после того, как их системы были зашифрованы.
EDP является четвертым в мире производителем ветровой электроэнергии. Компания представлена в 19 странах и на 4 континентах, имеет более 11 500 сотрудников и обеспечивает энергией более 11 млн клиентов.
McAfee описали Ragnar Locker в феврале этого года, афера с EDP — первое крупное «дело» операторов зловреда.
Читайте также на АКБ:
Хакеры вынесли 10 терабайт данных у португальского энергогиганта EDP
