Ransomware - mechanizmy wirtualizacji


(moneta01) #1

Może ktoś wyjaśnić czy programy typu ransomware mogą zostać oszukane przez mechanizmy wirtualizacji? Chodzi mi o to że na stronie cert.pl jest artykuł „Evil: prosty ransomware, napisany w języku JavaScript” w którym jest napisane że proces VBoxService może być dobrym sposobem na uchronienie komputera przed infekcją.

https://www.cert.pl/news/single/evil-prosty-ransomware-napisany-jezyku-javascript/


(ichito) #2

Oczywiście, że mogą…środowiska wirtualne mogą to zrobić na każdym “poziomie” - jako kontenery jak np. Sandboxie i piaskownica Comodo czy Qihoo 360 TSE…jako wirtualny system jak np. Shadow Defender czy Toolwiz Time Freeze…albo jako całe urządzenie czyli maszyna wirtualna. Wynika to stąd, że środowisko wirtualne nie zapisuje zmian w nim dokonanych na rzeczywistym dysku/systemie i są one odrzucane w sposób określony przez autora programu.
Często też takie środowiska mają dodatkowe funkcje ograniczania uprawnień czyli nie zezwalają na dokonywanie zmian/zapisu w systemie i tym samym blokują akcje szkodnika. Tego typu oprogramowanie jest niemal najczęstszym środowiskiem uruchamiania szkodników…nie tylko ransomów…więc bardziej zaawansowane szkodniki go unikają - poniżej przykład CryptoWall


Oczywiście autorzy też próbują przechytrzyć takie szkodniki i powstają programy jak np. AntiFooling, który modyfikując pewne obszary systemu “udaje” środowisko wirtualne

https://translate.google.com/translate?sl=auto&tl=en&js=y&prev=_t&hl=en&ie=UTF-8&u=http%3A%2F%2Fwww.zonavirus.com%2Fnoticias%2F2016%2Fantifooling-simula-que-una-maquina-es-virtual-para-que-algunos-malware-no-se-ejecuten.asp&edit-text=