Originally published at: http://korben.info/no-more-ransom.html
Plusieurs forces de police (Europol et la police des Pays Bas) et des sociétés dans le domaine de la sécurité (Kaspersky et Intel Security), se sont regroupés pour lancer le site No More Ransom (“Plus de rançon”). L’objectif est de lutter contre les ransomwares, ces virus qui réclament de l’argent en échange de vos fichiers.…
Question : Que se passe-t-il lorsque l’on surfe sur un site cracra ou que l’on ouvre son webmail infecté via une VM ? Le ransomware peut-il contaminer la machine hôte ?
TL; DR : Ca ne craint rien.
@Totoro ça dépend quel hyperviseur tu utilises (Hyper-V, VMWare Player/Workstation, VirtualBox ?) car tous n’offrent pas la même étanchéité, mais le plus gros risque, c’est que ta VM sera sur le même réseau que ta machine hôte (via un Bridge ou un NATtage par exemple) et donc, si ta machine hôte est vulnérable car non patchée par exemple, ou si elle héberge un service (SMB, FTP, Web, etc…) et que le serveur possède une vulnérabilité, alors, oui, tu exposes ta machine hôte à une infection. En vérité, peu de virus/malwares/trojans possèdent le code nécessaire pour essayer d’échapper à leur environnement virtualisé. La plupart cependant ne s’activent même pas lorsqu’ils sont exécutés depuis une VM.
En effet, les malwares tentent d’échapper aux sandboxes et autres environnement virtualisés utilisés par les antivirus et autres éditeurs de solutions de sécurité (je pense à Cuckoo par exemple) afin de ne pas se retrouver dans les bases de signatures en moins de 24h.