这是我们第一次看到虚拟机用于勒索软件。Ragnar Locker组将勒索软件可执行文件嵌入到虚拟机(VM)的虚拟磁盘映像(VDI)中。ransomware可执行文件不会被发送到网络中，也不会在物理端点上运行，而是仅在虚拟机中运行。

在物理机器上，虚拟机中的勒索程序的操作被隧道化，并由一个众所周知的、通常受信任的进程执行。一个明显的迹象是单个进程的高CPU使用率和对现有文档和其他文件的大量写入。防范此类攻击的最佳工具是使用专门设计的安全工具(反勒索软件)，该工具通过零信任态度的行为监视来检测异常的大量文件写入。

这种攻击将勒索软件的可执行文件隐藏在一个相对较大的文件中，该文件属于安全工具通常不处理的文件类型:虚拟磁盘映像(VDI)。此外，ransomware可执行程序在虚拟机中运行，并且由于底层hypervisor技术的原因，物理机器上的安全工具无法看到它。

虽然这是一个大胆的攻击，但它也有噪声，因为它的脚印和高CPU使用率。在没有投资于勒索软件保护的网络中，这种攻击可能会成功，但我认为我们不会看到这种方法变得普遍。

由于更多的勒索软件攻击是人为操作的，每个组织都是目标。他们都应该做好准备，并有一个恢复计划(打印在纸上)。一个成功的垃圾邮件或钓鱼邮件，一个暴露的RDP端口，一个脆弱的可利用网关设备或被盗的远程访问凭证就足以让这些活跃的对手获得立足点。然而，随着越来越多的犯罪团伙索要数百万美元的赎金，很明显，拥有更多资金和更大攻击面的大型组织面临更大的风险。

在过去的几个月里，我们看到勒索软件以多种方式发展。但郎纳尔储物柜的对手正在把勒索软件带到一个新的水平，并打破固有思维。

他们同时向数百个端点部署了一个众所周知的、受信任的虚拟机监控程序，以及一个预安装和预配置的虚拟磁盘映像(VDI)，保证能够运行他们的勒索软件。

“就像幽灵能够与物质世界进行交互一样，他们的虚拟机是针对每个端点定制的，因此它可以从虚拟平面内加密物理机器上的本地磁盘和映射网络驱动器，并且不受大多数端点保护产品的检测领域的限制。”秘密运行他们的50千字节的勒索软件所涉及的开销似乎是一个大胆的、嘈杂的举动，但可能在一些没有适当保护免受勒索软件攻击的网络中得到回报。

马克·洛曼(Mark Loman)是Sophos公司威胁缓解工程总监。