Ransomware in macchine virtuali. Esecuzione di Locky per testare le misure di sicurezza

5

Abbiamo diversi file binari del ransomware Locky. Abbiamo provato a eseguirlo in una macchina virtuale, che ha diversi archivi come Samba, ecc. Allegati, per vedere come i file verranno crittografati.

Fondamentalmente inizia, genera il suo processo e quindi si chiude senza un motivo apparente. Non succede niente.

Cosa potrebbe causare un simile comportamento?

    
posta honze 14.03.2016 - 23:01
fonte

1 risposta

5

Molte istanze di malware moderno sono compatibili con VM per rendere più difficili tali esami. Il malware tenterà di rilevare se è in esecuzione all'interno di una VM come una delle sue prime funzioni e quindi terminerà semplicemente in caso affermativo. Questo sarà fatto prima che il resto del carico venga decifrato per esporre il meno possibile agli esaminatori forensi.

Non so in particolare su Locky, ma non sarebbe sorprendente se gli autori di Locky usassero questa tattica molto comune.

Vedi qui per una buona panoramica di questo fenomeno: link

    
risposta data 16.03.2016 - 20:04
fonte

Leggi altre domande sui tag