Новий вірус-шифрувальник запускає віртуальну машину для доступу до файлів

Британська фірма в області кібербезпеки Sophos повідомила про новий вірус-здирника Ragnar Locker, який запускає віртуальну машину для доступу до файлів користувачів і обходу антивірусів.

Фахівці в області інформаційної безпеки зазначили, що завдяки запуску віртуальної машини Ragnar Locker обходить антивіруси і шифрує файли. При цьому вірус-шифрувальник, як правило, атакує корпоративні мережі, а не приватних користувачів.

Хакери вимагають дійсно вражаючі суми за розшифровку файлів. Так, за код для розшифровки даних компанії Energias de Portugal вони запросили 1 850 BTC (близько $17 млн за поточним курсом). У разі відмови від виплати биткоинов зловмисники пригрозили продати корпоративні таємниці компанії конкурентам.

Фахівці Sophos розповіли, що для зараження комп’ютера вірус використовує уразливість в системі віддаленого робочого столу Windows. Після отримання адміністративних привілеїв Ragnar Locker запускає віртуальну машину з спрощеною копією Windows XP під назвою «Micro XP v0.82».

«Оператори виявили новий вірус-вимагач, який використовує віртуальну машину для обходу продуктів з комп’ютерної безпеки. Як і інші подібні віруси, Ragnar Locker краде дані, щоб переконати жертву заплатити викуп. Якщо викуп не буде виплачений, то дані оприлюднюються на сайті групи в анонімної мережі Tor», – розповів фахівець з кібербезпеки з компанії Emsisoft Бретт Каллоу (Brett Callow).

Він також підкреслив, що компанії, що піддалися атакам подібних вірусів, опиняються в скрутному становищі. Навіть при виплаті викупу у них залишається лише обіцянка хакерів про те, що ті не опублікують або не продадуть отримані дані.

Нагадаємо, що днями компанія Group-IB повідомила про новий вірус-шифровальщике ProLock, який вимагає викуп у биткоинах за розшифровку файлів. Правда, на відміну від Ragnar Locker, ProLock не краде дані користувачів для подальшого шантажу.