原文鏈接:https://blog.malwarebytes.com/ransomware/2020/11/regretlocker-new-ransomware-can-encrypt-windows-virtual-hard-disks/
譯者:知道創宇404實驗室翻譯組

網絡安全研究人員上個月發現了一種名為RegretLocker的新型勒索軟件,盡管該軟件包沒有多余的裝飾,但仍可能嚴重破壞Windows計算機上的虛擬硬盤。

RegretLocker可以繞過加密計算機虛擬硬盤時的加密時間,還可以關閉并加密用戶當前打開的任何文件。Point3 Security副總裁ChloéMessdaghi將RegretLocker描述為“突破了加密虛擬文件的執行速度障礙的勒索軟件”。“ RegretLocker實際上可以搶占虛擬磁盤,并且速度快得多。”

RegretLocker并未向受害者提供冗長的勒索軟件說明(勒索軟件的常見做法),要求受害者通過電子郵件地址與黑客聯系。該電子郵件地址托管在CTemplar上,根據Silicon Angle的說法,CTemplar是位于冰島的匿名電子郵件托管服務。

受害者收到的標題為“ HOW TO RESTORE FILES.TXT”的簡短說明包含以下文本:

“你好朋友。

您的所有文件均已加密。

如果要還原它們,請給我們發送電子郵件:petro@ctemplar.com”

截至周二,威脅情報團隊只知道一個報告的野生樣本,并且沒有已知或報告的受害者。但是,由于這種勒索軟件可以快速加密虛擬硬盤,這是勒索軟件功能的潛在突破。

勒索軟件通常會避免對計算機上找到的虛擬磁盤進行加密嘗試,因為這些虛擬磁盤的容量很大,并且加密這些文件的時間只會延遲勒索軟件的用途:進入并鎖定勒索軟件。

但是,RegretLocker對待虛擬磁盤的方式有所不同。它利用OpenVirtualDisk、AttachVirtualDisk和GetVirtualDiskPhysicalPath函數將虛擬磁盤掛載為Windows計算機上的物理磁盤。掛載虛擬磁盤后,RegretLocker會分別加密磁盤文件,從而加快了整個過程。

RegretLocker的虛擬硬盤安裝功能可能來自安全研究人員odory vx最近在GitHub上發表的研究。MalwareHunterTeam研究人員還分析了RegretLocket的樣本,發現它可以脫機運行,也可以在線運行

此外,RegretLocker可以篡改Windows Restart Manager API來終止文件保持打開狀態的活動程序或Windows服務。根據IT Pro Portal,其他勒索軟件類型使用相同的API,包括SodinokibiRyuk、Conti、Medusa Locker、ThunderX、SamSam和LockerGoga,使用RegretLocker加密的文件使用.mouse擴展名。

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1406/