Привет, вопрос к тем, кто изучал/занимался вопросом защиты от ransomware Есть

у этого класса малвари практика реализовывать логику выхода из контейнера/ВМ? Может, этим занимается rat/troj, который забрасывает рансом на тачку?
В первую очередь вопрос о том, занимается ли рансомварь(в большинстве случаев) такими сложными вещами, как детект виртуализации?
Во вторую, о том, стоит ли (есть ли смысл) вообще угрозу ransomware рассматривать хоть в каком-то отрыве от troj/rat угрозы?

ну рансомвари чаще всего делаются по принципу "завфишил и ждешь биток", поэтому не думаю, что кто то станет так заморачиваться. Скорее просто будут фишить больше, чем тратить время на такой функционал)

О бля, там разве не через эксплоит сбегает

В итоге да, это может быть какой-то эксплоит под определенный гипервизор. Только вот зарядить свою малварь эксплоитами под гипервизоры = у злоумышленников был в команде челибос, который шарит в этом и смог скрутить какой-нибудь эксплойт-пак именно под них. Все сводится опять к вопросу - по статистике делают ли так рансомщики.

Да нет смысла склеивать шифровальщик с эксплоитом. Даже функционал червя нет смысла добавлять. Его руками запустят когда всю сетку под контроль возьмут работяги. Главное в рансомвари чтобы криптография не была кривой, моментальный распаралеленый запуск (и между файлами и между машинами сети) и не вызвать подозрений в рантайме (для этого играются с экзотическими языками программииования). А добавлять червивость это риск обнаружиться раньше времени

И сбегать из виртуалки работяги тоже будут руками при необходимости