Maze 勒索軟件使用 Ragnar Locker 虛擬機技術進行計算機加密

Maze勒索軟件運營商現在使用虛擬機對計算機進行加密，這是Ragnar Locker惡意軟件先前采用的一種策略。

Maze勒索軟件運營商采用了一種新策略來逃避檢測，他們的惡意軟件現在從虛擬機內部對計算機進行加密。該技術最初是由Ragnar Locker團伙在5月采用的，當時Ragnar Locker部署Windows XP虛擬機來加密受害者的文件，同時繞過安全措施。

該惡意軟件利用VirtualBox功能，該功能允許主機操作系統共享文件夾和驅動器，作為虛擬機內部的網絡共享。虛擬機將從\ VBOXSVR虛擬計算機將共享路徑作為網絡驅動器安裝，以訪問其內容。

然后虛擬機運行虛擬機中的勒索軟件來加密共享文件。

由于在受害者主機上運行的安全軟件不會在虛擬機上檢測到勒索軟件可執行文件或活動，因此它將很高興地繼續運行，而不會檢測到受害者的文件現在已被加密。

據Sophos的研究人員稱，現在，迷宮勒索軟件運營商正在使用相同的技術，從而阻止了他們的某些攻擊。

“在7月對一次攻擊進行一次調查時，攻擊者反復嘗試使用Maze勒索軟件感染計算機，而Sophos的Managed Threat Response（MTR）的分析人員發現，攻擊者早先采用了由Ragnar Locker背后的威脅參與者開創的技術。今年，勒索軟件有效負載分發到了虛擬機（VM）中。” 閱讀Sophos發布的分析。

在Sophos端點阻止的兩次嘗試中，Maze操作員嘗試使用名為“ Windows Update Security”或“ Windows Update Security Patches”或“ Google Chrome Security Update”的計劃任務啟動各種勒索軟件可執行文件。

在Sophos阻止的第三次攻擊中，Maze勒索軟件操作員部署了一個MSI文件，該文件將VirtualBox VM軟件以及自定義的Windows 7虛擬機安裝在服務器上。

執行虛擬機后，將執行一個名為startup_vrun.bat批處理文件的批處理文件，該批處理文件會將Maze可執行文件刪除到計算機中。

startup_vrun.bat文件位于c：\ users \ Administrator \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Startup中，以實現持久性。

“該虛擬磁盤的根目錄包含與Maze勒索軟件關聯的三個文件：preload.bat，vrun.exe，以及一個僅稱為有效負載（不帶文件擴展名）的文件，它是實際的Maze DLL有效負載。” 繼續分析。

“該腳本會將在VM磁盤根目錄上找到的相同的三個文件（vrun.exe和有效負載DLL二進制文件以及preload.bat批處理腳本）復制到其他磁盤，然后發出命令立即關閉計算機。當有人再次打開計算機電源時，該腳本將執行vrun.exe。”

然后關閉計算機，在重新啟動計算機后，將啟動vrun.exe來加密主機文件。

專家指出，此攻擊中使用的磁盤大小大于以前的Ragnar Locker攻擊中觀察到的磁盤大小。

Ragnar Locker攻擊使用的VM包含大小僅為404 MB的Windows XP映像。由于Maze使用Windows 7映像，因此使用的文件大小為2.6 GB。

“事實證明，Maze威脅行為者善于采用其他勒索軟件團伙證明成功的技術，包括使用勒索手段從受害者那里獲得付款。” 總結報告。“隨著端點保護產品提高了抵御勒索軟件的能力，攻擊者被迫付出更大的努力來繞過這些保護措施。”