Un nouveau ransomware appelé RegretLocker a été découvert fin 2020. RegretLocker utilise diverses fonctionnalités avancées qui lui permettent de chiffrer les disques durs virtuels et de fermer les fichiers ouverts pour le chiffrement. RegretLocker, à bien des égards, est un simple ransomware, car il ne contient pas de longue demande de rançon et utilise le courrier électronique pour communiquer plutôt que d'envoyer les victimes vers un site de paiement Tor.
Lors du chiffrement des fichiers, il ajoute l'extension .mouse aux noms de fichiers chiffrés. Les fonctionnalités avancées de RegretLocker incluent la possibilité de monter des disques durs virtuels. Lors de la création d'une machine virtuelle Windows Hyper-V, un disque dur virtuel est créé et stocké dans un fichier VHD ou VHDX. Les fichiers du disque dur virtuel contiennent une image de disque brute, comprenant la table de partition et les partitions du lecteur. Lorsqu'un ransomware chiffre des fichiers sur un ordinateur, il n'est généralement pas assez efficace pour chiffrer un fichier volumineux car il ralentit la vitesse de l'ensemble du processus de chiffrement.
Les chercheurs analysent RegretLocker
Dans les échantillons du ransomware découverts par MalwareHunterTeam et analysés par Vitali Kremez d'Advanced Intel, RegretLocker monte un fichier de disque virtuel afin que chacun de ses fichiers puisse être chiffré individuellement. Pour y parvenir, RegretLocker utilise les fonctions OpenVirtualDisk, AttachVirtualDisk et GetVirtualDiskPhysicalPath de l'API Windows Virtual Storage.
Une fois le lecteur virtuel monté en tant que disque physique sous Windows, RegretLocker peut chiffrer chacun individuellement, augmentant ainsi la vitesse de chiffrement. On pense que le code utilisé par RegretLocker pour monter un VHD est basé sur une recherche récemment publiée par le chercheur en sécurité Sodorty__vx. En plus d'utiliser l'API de stockage virtuel, RegretLocker utilise également l'API Windows Restart Manager pour mettre fin aux processus ou aux services Windows qui maintiennent les fichiers ouverts pendant le chiffrement.
Lors de l'utilisation de cette API, si le nom d'un processus contient « vnc », « ssh », « mstsc », « System » ou « svchost.exe », le ransomware ne le terminera pas. On pense que cette liste d'exceptions est utilisée pour empêcher l'arrêt des programmes critiques ou de ceux utilisés par les pirates pour accéder au système compromis. La fonctionnalité Windows Restart Manager n'est utilisée que par un petit nombre de souches de ransomwares, notamment REvil (Sodinokibi), Ryuk, Conti, ThunderX/Ako, Medusa Locker, SamSam et LockerGoga.
Bien que RegretLocker n’ait pas été très actif à ce stade, il s’agit d’une nouvelle souche à surveiller.
