Ragnar Locker勒索软件部署虚拟机以规避检测(2020.5.29)

研究人员发现Ragnar Locker勒索软件新规避检测手段，通过在目标设备上安装虚拟机来隐藏自身。攻击者使用GPO任务执行msiexec.exe，传递参数以从远程web服务器下载并静默安装一个122MB的未签名MSI包。MSI包包含一个旧版本的Oracle VirtualBox虚拟机管理程序和一个名为micro.vdi的虚拟磁盘映像文件（VDI），并将二者安装到C盘。MSI还部署一个可执行文件、一个批处理文件和一些支持文件。批处理文件首要任务是注册并运行虚拟机。然后，停止Windows Shell硬件检测服务，禁用Windows自动播放通知功能。接下来，该脚本执行命令以删除卷影副本，并继续枚举物理机上的所有本地磁盘、连接的可移动驱动器和映射的网络驱动器，因此可以将其配置为从虚拟机内部进行访问。Ragnar Locker勒索软件在虚拟机中执行，加密主机本地文件，而主机上的安全软件无法检测到恶意行为，从而规避检测。完整报告可在news.sophos.com下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理