Ende 2020 wurde eine neue Ransomware namens RegretLocker entdeckt. RegretLocker nutzt verschiedene erweiterte Funktionen, die es ihm ermöglichen, virtuelle Festplatten zu verschlüsseln und geöffnete Dateien zur Verschlüsselung zu schließen. Bei RegretLocker handelt es sich in vielerlei Hinsicht um eine einfache Ransomware, da sie keinen langwierigen Lösegeldschein enthält und E-Mails für die Kommunikation verwendet, anstatt Opfer an eine Tor-Zahlungsseite weiterzuleiten.
Beim Verschlüsseln von Dateien wird die Erweiterung .mouse an verschlüsselte Dateinamen angehängt. Zu den erweiterten Funktionen von RegretLocker gehört die Möglichkeit, virtuelle Festplatten bereitzustellen. Beim Erstellen einer virtuellen Windows Hyper-V-Maschine wird eine virtuelle Festplatte erstellt und in einer VHD- oder VHDX-Datei gespeichert. Die Dateien der virtuellen Festplatte enthalten ein Rohbild der Festplatte, einschließlich der Partitionstabelle und der Partitionen des Laufwerks. Wenn eine Ransomware Dateien auf einem Computer verschlüsselt, ist sie normalerweise nicht effizient genug, um eine große Datei zu verschlüsseln, da sie die Geschwindigkeit des gesamten Verschlüsselungsprozesses verlangsamt.
Forscher analysieren RegretLocker
In den von MalwareHunterTeam entdeckten und von Vitali Kremez von Advanced Intel analysierten Beispielen der Ransomware stellt RegretLocker eine virtuelle Festplattendatei bereit, sodass jede seiner Dateien einzeln verschlüsselt werden kann. Um dies zu erreichen, verwendet RegretLocker die Windows Virtual Storage API-Funktionen OpenVirtualDisk, AttachVirtualDisk und GetVirtualDiskPhysicalPath.
Sobald das virtuelle Laufwerk als physische Festplatte in Windows bereitgestellt ist, kann RegretLocker jedes einzelne Laufwerk einzeln verschlüsseln und so die Verschlüsselungsgeschwindigkeit erhöhen. Es wird angenommen, dass der von RegretLocker zum Mounten einer VHD verwendete Code auf kürzlich veröffentlichten Forschungsergebnissen des Sicherheitsforschers stinky__vx basiert. Zusätzlich zur Verwendung der Virtual Storage API verwendet RegretLocker auch die Windows Restart Manager API, um Prozesse oder Windows-Dienste zu beenden, die Dateien während der Verschlüsselung geöffnet halten.
Wenn der Name eines Prozesses bei Verwendung dieser API „vnc“, „ssh“, „mstsc“, „System“ oder „svchost.exe“ enthält, wird er von der Ransomware nicht beendet. Es wird angenommen, dass diese Ausnahmeliste verwendet wird, um die Beendigung kritischer Programme oder solcher Programme zu verhindern, die von Hackern für den Zugriff auf das kompromittierte System verwendet werden. Die Windows Restart Manager-Funktion wird nur von einer kleinen Anzahl von Ransomware-Stämmen verwendet, darunter REvil (Sodinokibi), Ryuk, Conti, ThunderX/Ako, Medusa Locker, SamSam und LockerGoga.
Obwohl RegretLocker zu diesem Zeitpunkt noch nicht sehr aktiv war, handelt es sich um eine neue Sorte, die man im Auge behalten sollte.
