Abbiamo diversi file binari del ransomware Locky. Abbiamo provato a eseguirlo in una macchina virtuale, che ha diversi archivi come Samba, ecc. Allegati, per vedere come i file verranno crittografati.
Fondamentalmente inizia, genera il suo processo e quindi si chiude senza un motivo apparente. Non succede niente.
Cosa potrebbe causare un simile comportamento?
Molte istanze di malware moderno sono compatibili con VM per rendere più difficili tali esami. Il malware tenterà di rilevare se è in esecuzione all'interno di una VM come una delle sue prime funzioni e quindi terminerà semplicemente in caso affermativo. Questo sarà fatto prima che il resto del carico venga decifrato per esporre il meno possibile agli esaminatori forensi.
Non so in particolare su Locky, ma non sarebbe sorprendente se gli autori di Locky usassero questa tattica molto comune.
Vedi qui per una buona panoramica di questo fenomeno: link
Leggi altre domande sui tag ransomware