Seit Anfang 2016 ist die Cerber-Ransomware-Familie bekannt. Die kriminellen Entwickler hinter der Erpressungssoftware versuchen diese immer wieder zu verfeinern. Aktuelle Abkömmlinge können offenbar erkennen, ob sie in einer virtuellen Maschine ausgeführt werden.
Anzeige
Die Sicherheitsspezialisten des Anbieters Checkpoint widmen sich in diesem Cerber-Report den Details der Cerber-Ransomware. Und dieser Blog-Beitrag von Trend Micro weist auf die Neuerung zum Erkennen von virtuellen Umgebungen in Cerber hin. Typischerweise wird Ransomware als E-Mail-Anhang verteilt.
Antivirus-Software führt diese Anhänge in Sandboxen aus, um deren Verhalten zu erkennen. Auch Sicherheitsforscher verwenden virtuelle Umgebungen, um die Schadsoftware zu untersuchen. Wenn die Schadsoftware aber erkennt, dass sie in einer virtuellen Umgebung läuft und sich still verhält, wird das Erkennen und die Analyse zukünftig noch schwerer. Weitere Details lassen sich in den verlinkten Beiträgen entnehmen. (via)
Anzeige