这是我们第一次看到用于勒索软件的虚拟机。Ragnar Locker帮派将勒索软件可执行文件嵌入到虚拟机（VM）的虚拟磁盘映像（VDI）上。该勒索软件可执行文件不会被发送到网络中，而不是在物理端点上运行，但仅在虚拟机上运行。

可以用来检测此类攻击的明显迹象或工具是什么？

在物理机上，虚拟机中勒索软件的操作通过已知的且通常受信任的过程进行传输和执行。一个有说服力的信号是单个进程的CPU使用率很高，并且大量写入现有文档和其他文件。防范此类攻击的最佳工具是使用安全工具（反勒索软件），该工具专门用于通过零信任态度的行为监控来检测异常的大容量文件写入。

除了作为一种新技术之外，这种攻击方法又有什么威胁呢？

攻击将勒索软件可执行文件隐藏在一个较大的文件中，该文件具有安全工具通常不处理的文件类型：虚拟磁盘映像（VDI）。此外，勒索软件可执行文件在虚拟机中运行，并且由于底层的虚拟机监控程序技术，物理计算机上的安全工具无法看到该勒索软件可执行文件。

尽管这种尝试没有成功，但是您认为随着虚拟机使用的增加，这种策略将变得更加精明并因此成功吗？

尽管这是一次大胆的攻击，但由于它的占用空间和较高的CPU使用率，它也很嘈杂。在尚未投资勒索软件保护的网络中，这种攻击可能会成功，但是我认为我们不会看到这种方法变得普遍。

您认为哪种技术最受此技术的威胁？

由于更多的勒索软件攻击是人为操作的，因此每个组织都是目标。他们都应做好准备并制定恢复计划（纸上印刷）。成功的垃圾邮件或网络钓鱼电子邮件，暴露的RDP端口，易受攻击的可利用网关设备或被盗的远程访问凭据足以使这些活动的对手站稳脚跟。但是，随着越来越多的犯罪团伙索要数百万美元的赎金，很显然，拥有更多资金和更大攻击面的大型组织面临更大的风险。

我们还应该知道些什么？

在过去的几个月中，我们已经看到勒索软件以多种方式发展。但是Ragnar Locker的对手正在将勒索软件提升到一个新的高度，并在框外进行思考。

他们正在将知名且受信任的虚拟机管理程序同时部署到数百个端点，以及保证运行其勒索软件的预安装和预配置的虚拟磁盘映像（VDI）。

“就像能够与物质世界进行交互的幽灵一样，它们的虚拟机是针对每个端点量身定制的，因此它可以从虚拟机内部对物理机上的本地磁盘和映射的网络驱动器进行加密，并且超出了大多数端点保护的检测范围产品。秘密运行其50 KB勒索软件所涉及的开销似乎是一个大胆而嘈杂的举动，但在某些未得到适当防范的勒索软件的网络中可能会有所收获。