Tenemos varios binarios del ransomware Locky. Intentamos ejecutarlo en una máquina virtual, que tiene varios almacenes como Samba, etc. adjuntos, para ver cómo se van a cifrar los archivos.
Básicamente comienza, genera su proceso y luego se cierra sin ninguna razón aparente. No pasa nada.
¿Qué podría causar tal comportamiento?
Muchas instancias de malware moderno son compatibles con VM para dificultar exactamente tales exámenes. El malware intentará detectar si se está ejecutando dentro de una máquina virtual como una de sus primeras funciones y luego terminará si ese es el caso. Esto se hará antes de que se descifre el resto de la carga útil para exponer lo menos posible a los examinadores forenses.
No conozco a Locky en particular, pero no sería sorprendente en lo más mínimo si los autores de Locky estuvieran usando esta táctica tan común.
Vea aquí para una buena visión general de este fenómeno: enlace
Lea otras preguntas en las etiquetas ransomware