RagnarLocker勒索病毒通过隐藏在虚拟机里来逃避杀毒软件

　　RagnarLocker勒索病毒使用了一种新技术来规避杀毒软件，Ragnar Locker勒索病毒会先通过RDP爆破来入侵目标服务器，然后通过msiexec.exe从远程服务器下载并静默安装122MB的MSI，MSI中包括了旧版VirtualBox和带有Ragnar Locker勒索的精简版win xp镜像，最后执行install.bat脚本，会将物理机上的所有磁盘全部映射到虚拟机中。

　　写入VirtualBox的配置文件并构建启动虚拟机的配置文件：

　　最后启动虚拟机，勒索位于xp镜像的启动目录下，虚拟机启动时会自动执行勒索软件，在虚拟机中加密共享的物理机数据从而规避杀软的查杀。

　　力创数据教你如何防范勒索病毒：

　　1、及时修复系统漏洞，做好日常安全运维。

　　2、采用高强度密码，杜绝弱口令，增加勒索病毒入侵难度。

　　3、定期备份重要资料，建议使用单独的文件服务器对备份文件进行隔离存储。

　　4、加强安全配置提高安全基线，例如关闭不必要的文件共享，关闭3389、445、139、135等不用的高危端口等。

　　5、提高员工安全意识，不要点击来源不明的邮件，不要从不明网站下载软件。

　　6、选择技术能力强的杀毒软件，以便在勒索病毒攻击愈演愈烈的情况下免受伤害。

如有疑问，马上在线咨询 点击在线咨询