我们有几个勒索软件 Locky 的二进制文件。我们尝试在虚拟机中运行它,该虚拟机连接了多个存储,如 Samba 等,以查看文件将如何加密。
基本上它开始,产生它的进程,然后无缘无故地退出。没发生什么事。
什么可能导致这种行为?
虚拟机中的勒索软件。运行 Locky 以测试安全措施
信息安全
勒索软件
2021-09-09 21:34:31
1个回答
现代恶意软件的许多实例都具有 VM 感知能力,从而使此类检查更加困难。该恶意软件将尝试检测它是否在虚拟机内运行,作为其首要功能之一,如果是这种情况,则简单地终止。这将在剩余的有效载荷被解密之前完成,以便尽可能少地暴露给取证检查员。
我不特别了解 Locky,但如果 Locky 的作者使用这种非常常见的策略,至少也不足为奇。
有关此现象的详细概述,请参见此处: https ://blog.malwarebytes.org/intelligence/2014/02/a-look-at-malware-with-virtual-machine-detection/